La faiblesse de l’authentification des points de terminaison MCP est activement exploitée depuis mars.
Le fournisseur de sécurité Pluto Security a publié les détails d’une vulnérabilité critique dans l’outil de configuration de serveur Web open source nginx UI qui est activement exploité par les cybercriminels depuis mars.
La nouvelle de la faille, identifiée comme CVE-2026-33032, est apparue pour la première fois dans la base de données nationale sur les vulnérabilités (NVD) le 30 mars, le même jour où les sociétés de renseignement sur les menaces VulnCheck et Insikt Group de Recorded Future ont noté qu’elle était activement exploitée.
Ce que les utilisateurs n’avaient pas à ce moment-là, c’était des détails sur la faille de Pluto Security, la société qui l’avait découverte plus tôt ce mois-là. Cette semaine, la société a rectifié ce problème en publiant une analyse complète de la vulnérabilité.
Nginx UI est un tableau de bord et une interface de panneau de contrôle en temps réel pratiques pour gérer les nœuds uniques et les nœuds de cluster Nginx sans avoir à recourir à l’interface de ligne de commande (CLI).
La vulnérabilité, avec un score CVSS de 9,8, est liée à la prise en charge par le logiciel des serveurs Model Context Protocol (MCP), qui a été ajouté fin 2025 et permet la communication entre les serveurs Web nginx et les modèles d’IA via deux points de terminaison d’URL MCP accessibles via HTTP.
Malheureusement, dans le cas de l’interface utilisateur nginx, l’un de ces points de terminaison, , a été implémenté sans authentification, une faiblesse que Pluto Security a surnommée « MCPwn ».
« Cela expose 12 outils MCP, y compris l’écriture de configuration avec rechargement automatique de nginx, à n’importe quel hôte du réseau. Un appel API non authentifié suffit pour injecter une configuration et prendre le contrôle de nginx », a déclaré Pluto Security.
En tirant parti de MCPwn, un attaquant serait capable d’intercepter tout le trafic, de récupérer les informations d’identification de l’administrateur, de maintenir un accès persistant, d’effectuer une reconnaissance de l’infrastructure via les fichiers de configuration nginx et de tuer le service, a indiqué la société.
Surface d’attaque MCP
La base d’utilisateurs de Nginx UI, qui compte des centaines de milliers d’utilisateurs, est relativement petite par rapport à la grande popularité mondiale du serveur Web nginx. Beaucoup de ses installations seront également internes et ne seront donc pas directement exposées aux attaques à distance. Cependant, en utilisant Shodan, Pluto Security a quand même pu trouver 2 689 instances d’interface utilisateur nginx vulnérables accessibles depuis Internet, a-t-il indiqué.
« C’est un exemple clair de la façon dont les intégrations d’IA peuvent involontairement étendre la surface d’attaque », a commenté Shahar Bahat, PDG de Pluto Security. « Les serveurs MCP ne sont pas de simples outils de développement, ce sont des points d’accès privilégiés aux systèmes de production. »
MCP a été mis en œuvre à une vitesse vertigineuse pour permettre aux agents d’IA, ce qui a conduit à l’adoption d’outils sans que les risques qu’ils créent soient compris, a souligné Bahat.
« Cette vulnérabilité montre comment un seul point de terminaison exposé peut permettre une compromission totale. Les couches d’intégration de l’IA doivent être traitées comme faisant partie de la surface d’attaque, et non après coup », a-t-elle déclaré.
Pour les équipes de sécurité, cela rappellera les problèmes rencontrés lorsque les API ont commencé à exploser il y a dix ans. En activant une couche d’intégration telle que MCP et les outils utilisés pour la gérer, les développeurs risquent de créer par inadvertance une nouvelle couche de vulnérabilité.
Comme le dit Bahat : « Les points de terminaison d’intégration de l’IA exposent les mêmes fonctionnalités que l’application principale, mais ignorent souvent ses contrôles de sécurité. » Lors de la planification des intégrations MCP, Pluto Security recommande d’accorder aux points de terminaison MCP la même attention en matière de sécurité que les API, en auditant les points de terminaison des événements envoyés par le serveur (SSE) et en testant entièrement les paramètres d’authentification.
Un correctif prioritaire
Le fait que la vulnérabilité nginx soit exploitée depuis au moins un mois devrait faire de l’application du correctif recommandé, version 2.3.4, publiée le 15 mars, une priorité pour quiconque utilise ce logiciel, car les serveurs nginx représentent une grande récompense pour les acteurs malveillants. En février, des attaquants ont été découverts en train d’exploiter la vulnérabilité « React2Shell » (CVE-2025-55182) dans React Server Components (RSC) pour cibler les serveurs nginx.
Pour ceux qui ne peuvent pas appliquer le correctif immédiatement, la solution provisoire consiste à désactiver MCP ou à verrouiller la liste blanche d’adresses IP sur des hôtes de confiance, ainsi qu’à examiner les journaux d’accès pour détecter les modifications de configuration inhabituelles.
