CEVIU Logo
Voltar

Falha crítica no Nginx UI (CVE-2026-27944) expõe backups de servidor

Aprofundamento CEVIU

Aprofundamento

A falha CVE-2026-27944 não é só uma brecha de autenticação: é um colapso duplo de segurança. O endpoint /api/backup responde sem exigir login, mas pior, devolve a chave AES-256 e o IV no cabeçalho X-Backup-Security, como se fosse um carimbo de aprovação. Isso anula toda a criptografia do backup antes mesmo de o atacante tentar descriptografar. A versão corrigida, 2.3.3, remove esse vazamento e impõe autenticação obrigatória nesse endpoint, mudança simples em código, mas crítica em impacto.

O EPSS de 0.05% parece baixo, mas engana: a vulnerabilidade exige zero interação do usuário e opera por rede, com CVSS 9.8. Em ambientes onde o Nginx UI está exposto à internet, mesmo que por acidente, como em testes ou homologações, a exploração é quase automática. Já há relatos de varreduras ativas buscando o endpoint /api/backup em escaneamentos de superfície digital desde 7 de março, segundo dados do IONIX.

Por que isso importa

Empresas que usam Nginx UI para gerenciar servidores web estão sob risco imediato de comprometimento completo: não só da interface de administração, mas de toda a infraestrutura mapeada por ela. Um único backup vazio pode entregar chaves SSL, senhas de banco de dados e tokens de sessão válidos por horas, o suficiente para pivotar para outros sistemas. Diferente de falhas que exigem cadeia de erros, aqui basta um GET não autenticado. A mitigação não é só atualizar: é isolar a interface de gerenciamento, revogar credenciais antigas e auditar logs atrás de acessos ao endpoint desde janeiro, pois ataques podem ter começado antes da divulgação oficial.

Perguntas frequentes

Como saber se meu ambiente está vulnerável?

Verifique a versão do Nginx UI instalada. Se for anterior à 2.3.3, está exposta. Também teste manualmente com curl -I http://[seu-servidor]/api/backup: se retornar status 200 e o cabeçalho X-Backup-Security, o sistema é vulnerável, mesmo que não haja backup configurado.

Atualizar para a versão 2.3.3 resolve tudo?

Sim, a correção é eficaz: a nova versão exige autenticação no endpoint e retira a chave do cabeçalho. Mas atenção: se o sistema já foi exposto, suponha que todas as credenciais listadas na descrição (chaves SSL, senhas de BD, tokens) foram roubadas. Atualizar sozinho não apaga o dano, é preciso rotação imediata desses segredos.

Posso deixar o Nginx UI exposto com IP allowlisting em vez de atualizar?

Não é seguro. Allowlisting reduz a superfície, mas não elimina o risco de exploração via IPs autorizados comprometidos ou configurações mal feitas. A vulnerabilidade permite criar novos usuários administradores, ou seja, um atacante que entre por outro vetor pode usar o endpoint para elevar privilégios. Atualização + isolamento é a única combinação confiável.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
10 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser