Nginx UI身份验证绕过缝隙已被恶意利用

首页 > 安全钻研 > 安全传递 > 安全简讯

Nginx UI身份验证绕过缝隙已被恶意利用

颁布功夫 2026-04-16

1. Nginx UI身份验证绕过缝隙已被恶意利用

4月15日，，Nginx UI 中一个支持模型高低文和谈（MCP）的严重安全缝隙（编号CVE-2026-33032）目前正遭到恶意利用，，攻击者无需任何身份验证即可齐全节制指标服务器。该缝隙的底子原因在于nginx-ui未能对/mcp_message端点执行有效珍视，，使得远程攻击者可能在无痛处的情况下挪用特权MCP操作。由于这些操作涉及写入、批改及重新加载nginx配置文件，，一个单一的未认证要求即可扭转服务器行为，，实现Web服务器的全面收受。美国国度尺度与技术钻研院（NIST）在国度缝隙数据库（NVD）中明确指出，，任何网络攻击者均可未经认证挪用所有MCP工具，，蕴含重启nginx、创建或批改配置文件以及触发自动重载。Nginx UI官方于3月15日颁布2.3.4版本修复该缝隙，，此前一天由Pluto Security AI的钻研人员汇报。然而，，缝隙标识符、技术细节及概念验证（PoC）代码直至月底才公开披露。本周早些时辰，，Recorded Future在CVE概览汇报中确认该缝隙正被积极利用。Pluto Security通过Shodan扫描发现，，目前约有2600个公开露出的实例可能存在缝隙，，重要散布在中国、美国、印度尼西亚、德国和香港。

https://www.bleepingcomputer.com/news/security/critical-nginx-ui-auth-bypass-flaw-now-actively-exploited-in-the-wild/

2. 新型恶意软件AgingFly正攻击当局与医院

4月15日，，一种名为“AgingFly”的新型恶意软件家族正被用于攻击处所当局、医院甚至国防队列成员，，该软件专门从基于Chromium的浏览器和Windows版WhatsApp中窃取身份验证数据。CERT-UA已将攻击行动归因于其追踪的网络威胁集群UAC-0247。攻击链始于指标收到假装成人道主义增援的电子邮件，，诱导点击嵌入链接，，该链接会重定向到因跨站剧本（XSS）缝隙遭入侵的合法网站，，或使用AI工具天生的虚伪网站。随后，，受害者收到蕴含快捷方式文件（LNK）的归档文件，，该文件启动内置的HTA处置法式，，衔接远程资源检索并执行HTA文件。HTA显示钓饵表单以分散把稳力，，同时创建打算工作下载并运行EXE有效载荷，，将shellcode注入合法过程。接着攻击者部署两阶段加载器，，最终有效载荷经压缩和加密后开释。典型的TCP反向shell或类似RAVENSHELL的工具被用作跳板，，成立与治理服务器的TCP衔接，，使用XOR密码加密的TCP通道与C2服务器通讯，，通过Windows号令提醒符执行号令。之后AgingFly被交付部署，，同时利用PowerShell剧本（SILENTLOOP）执行号令、更新配置并从Telegram频道获取C2地址。

https://www.bleepingcomputer.com/news/security/new-agingfly-malware-used-in-attacks-on-ukraine-govt-hospitals/

3. EssentialPlugin三十余款插件遭后门入侵

4月15日，，EssentialPlugin软件包中的30多款WordPress插件已被恶意代码入侵，，攻击者可在未经授权的情况下接见并节制运行这些插件的网站。该事务由托管WordPress主机提供商Anchor Hosting的首创人Austin Ginder发现，，他在收到某插件蕴含允许第三方接见代码的线索后发展调查，，了局显示：自2025年8月该项目被新东家以六位数价值收购以来，，EssentialPlugin软件包中的所有插件均存在后门�：竺抛畛醮τ诓换疃刺�，，直到近期才被激活，，它静默衔接外部基础设施获取一个名为“wp-comments-posts.php”的文件，，进而将恶意软件注入主题配置文件“wp-config.php”。该恶意软件对网站所有者不私见，，并利用基于以太坊的C2地址解析进行躲避，，可凭据指令获取垃圾链接、重定向和虚伪页面。WordPress.org迅速响应，，关闭了有关插件并强制网站更新，，以堵截后门通讯并禁用其执行蹊径。建议使用受影响插件的网站治理员立即查抄并手动算帐配置文件中的恶意代码。

https://www.bleepingcomputer.com/news/security/wordpress-plugin-suite-hacked-to-push-malware-to-thousands-of-sites/

4. Mirax恶意软件攻击活动波及22万账户

4月15日，，一种名为Mirax的新型安卓远程接见木马（RAT）正通过Meta平台（Facebook和Instagram）上的告白大规模传布，，重要针对西班牙语用户，，目前已有超过22万个账户被习染。该恶意软件不仅允许攻击者实时齐全节制受习染设备，，还能将设备转化为SOCKS5代理节点，，通过受害者的IP地址路由恶意流量。Mirax以恶意软件即服务（MaaS）大局销售，，但选取高度管控的独家分发模式，，仅限少数联盟成员接见，，这标志取移动威胁正从宽泛的MaaS向更荫蔽的“私有MaaS”演变。自2025年12月19日起，，Mirax起头在地下论坛公开推广，，Cleafy威胁谍报团队自2026年3月起对其进行积极监控。攻击通过多阶段营销活动执行，，利用Meta告白诱骗用户下载恶意利用法式。受害者被重定向到提供虚伪服务（如犯法体育直播利用）的垂钓网站，，利用用户侧载APK文件的习惯进行攻击。恶意软件通过托管在GitHub Releases上的投放器传布，，这些投放器频仍更新和重新打包以绕过安全查抄。装置后，，投放器解压有效载荷并利用强混合技术，，通过WebSocket成立衔接。

https://securityaffairs.com/190842/uncategorized/mirax-malware-campaign-hits-220k-accounts-enables-full-remote-control.html

5. CISA更新KEV目录：新增SharePoint及Excel缝隙

4月15日，，美国网络安全和基础设施安全局（CISA）近日将影响Microsoft SharePoint Server和Microsoft Office Excel的缝隙增长到其已知可利用缝隙（KEV）目录中，，要求联邦机构在2026年4月28日前实现修复。其中，，编号为CVE-2009-0238（CVSS评分9.3）的缝隙影响多个版本的Microsoft Excel及有关查看器。当用户打开特制的Excel文件时，，该缝隙会导致利用法式接见内存中的无效对象，，造成内存败坏，，从而使远程攻击者可能以当前用户权限在受影响系统上执行肆意代码。该缝隙早在2009年2月就被积极利用，，出格是通过Trojan.Mdropper.AC恶意软件传布，，是其时重大现实威胁之一。第二个被参与目录的缝隙编号为CVE-2026-32201（CVSS评分6.5），，涉及Microsoft SharePoint Server中的糊弄缝隙，，可能与跨站剧本攻击（XSS）有关。微软汇报称该零日缝隙已被积极用于现实攻击中。安全布告指出，，SharePoint中不正确的输入验证允许未经授权的攻击者通过网络执行糊弄操作，，成功利用后可查看部门敏感信息，，或更改已披露信息。

https://securityaffairs.com/190852/hacking/u-s-cisa-adds-microsoft-sharepoint-server-and-microsoft-office-excel-flaws-to-its-known-exploited-vulnerabilities-catalog.html

6. CISA忠告Windows工作主机权限提升缝隙正被利用

4月15日，，美国网络安全和基础设施安全局（CISA）近日发出忠告，，要求美国当局机构尽快珍视其系统免受Windows工作主机权限提升缝隙（CVE-2025-60710）的侵害。该缝隙允许本地攻击者在仅具备根基用户权限的情况下，，通过低复杂度的攻击方式获得SYSTEM权限，，从而齐全节制受习染的设备。工作主机是Windows系统的主题组件，，作为基于DLL的过程的容器，，允许它们在后盾运行，，并确保在关机期间正确关闭以预防数据败坏。该缝隙源于影响Windows 11和Windows Server 2025设备的链接跟踪弱点，，具体阐发为Windows工作主机过程在文件接见之前的链接解析不当，，导致授权攻击者可能在本地提升权限。微软已于2025年11月颁布了针对该缝隙的安全更新。本周一，，CISA将CVE-2025-60710正式列入其“已知可利用缝隙”（KEV）目录。凭据2021年11月颁布的拥有约束力的操作指令（BOD）22-01，，联邦民事行政部门（FCEB）机构被赐与两周功夫来实现缝隙修复，，以珍视其网络免受攻击。

https://www.bleepingcomputer.com/news/security/cisa-flags-windows-task-host-vulnerability-as-exploited-in-attacks/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研