Une faille exploitée dans Nginx expose des serveurs MCP

Une vulnérabilité dans l'outil de configuration de serveurs web Nginx UI compromet des serveurs MCP. Activement exploitée depuis mars, elle dispose d'un correctif à appliquer dès que possible.

Le 30 mars dernier, les sociétés spécialisées en renseignement sur les menaces VulnCheck et Insikt Group (filiale de Recorded Future) ont signalé l'exploitation active d'une faille critique dans l'outil de configuration de serveurs web Nginx UI. Référencée dans la National Vulnerability Database (NVD) en tant que CVE-2026-33032 (score CVSS de 9,8), celle-ci n'avait pas été détaillée lors de sa découverte un mois plus tôt par Pluto Security. C'est désormais le cas, avec une analyse complète effectuée par ce fournisseur. À la fois tableau de bord et interface, Nginx UI sert à gérer les nœuds uniques et en clusters de Nginx sans avoir à recourir à des lignes de commande (CLI).

Cette vulnérabilité affecte les serveurs MCP (Model Context Protocol), dont la prise en charge effective depuis fin 2025 a introduit une communication entre les serveurs web nginx et les modèles IA via deux points de terminaison MCP accessibles par HTTP. Malheureusement, dans le cas de Nginx UI, l'un de ces points de terminaison, /mcp_message, a été implémenté sans authentification. La faille a été baptisée MCPwn par Pluto Security. « MCPwn expose 12 outils MCP, y compris la modification de la configuration avec redémarrage automatique de Nginx, sur n’importe quel hôte du réseau. Un seul appel API non authentifié suffit pour injecter une configuration et prendre le contrôle », a déclaré Pluto Security. « En exploitant MCPwn, un attaquant peut alors intercepter tout le trafic, récupérer les identifiants d’administrateur, conserver un accès persistant, effectuer une reconnaissance de l’infrastructure via les fichiers de configuration de nginx et interrompre le service », a indiqué l’entreprise.

Les couches d'intégration de l'IA à inclure dans la surface d'attaque

La base d'utilisateurs de Nginx UI, qui compte des centaines de milliers de personnes, est relativement restreinte par rapport à la grande popularité du serveur web Nginx. A l’aide de Shodan, la société a identifié 2 689 instances Nginx UI vulnérables et accessibles depuis Internet. « Cet exemple montre clairement comment les intégrations IA peuvent étendre involontairement la surface d’attaque », a commenté Shahar Bahat, CEO de Pluto Security. « Les serveurs MCP ne sont pas seulement des outils de développement, ce sont des points d’accès privilégiés aux systèmes de production », a-t-elle ajouté. « Le protocole MCP a été mis en œuvre à une vitesse vertigineuse pour permettre le fonctionnement des agents IA, ce qui a conduit à l’adoption d’outils sans bien en comprendre les risques », poursuit le dirigeant. « Cette vulnérabilité montre comment un seul point de terminaison exposé peut déboucher sur une compromission totale. Il faut considérer les couches d’intégration de l’IA comme faisant partie de la surface d’attaque, et non comme un élément secondaire », a-t-elle déclaré.

Cette compromission devrait rappeler aux équipes de sécurité les problèmes rencontrés lors de l'essor des API il y a une dizaine d'années. En mettant en place une couche d'intégration comme MCP, ainsi que les outils utilisés pour la gérer, les développeurs risquent de créer involontairement une nouvelle source de vulnérabilité. « Les points de terminaison d’intégration IA exposent les mêmes capacités que l’application principale, mais contournent souvent ses contrôles de sécurité », prévient Shahar Bahat. Lors de la planification d’intégrations MCP, l'entreprise recommande de traiter la sécurité des points de terminaison MCP avec la même attention que les API, d’auditer les points de terminaison Server-Sent Events (SSE), et de tester de manière exhaustive les paramètres d’authentification.

Un correctif à appliquer rapidement

Le fait que la vulnérabilité Nginx soit exploitée depuis au moins un mois devrait inciter toute personne utilisant ce logiciel à appliquer sans délai le correctif recommandé, à savoir la version 2.3.4, publiée le 15 mars, car les serveurs Nginx constituent une cible de choix pour les acteurs malveillants. En février, des attaquants exploitaient la faille « React2Shell » (CVE-2025-55182) dans React Server Components (RSC) découverte en décembre dernier pour cibler les serveurs Nginx. Pour ceux qui ne peuvent pas appliquer ce patch immédiatement, la solution provisoire consiste à désactiver MCP ou à limiter la liste blanche d'adresses IP aux hôtes de confiance, ainsi qu'à examiner les journaux d'accès pour y détecter de potentielles modifications de configuration inhabituelles.