Krytyczne podatności w produktach Ubiquiti
Zespół CERT Polska informuje o krytycznych podatnościach w produktach Ubiquiti pozwalających na zdalne wykonanie kodu z uprawnieniami root przez nieuwierzytelnionego atakującego.
Podatności znalezione w oprogramowaniu z rodziny UniFi OS, oznaczone jako CVE-2026-34908, CVE-2026-34909 oraz CVE-2026-34910 (wszystkie o CVSS 10.0), wynikają z błędu w kontroli dostępu oraz możliwości wstrzyknięcia kodu w usłudze aktualizacji. Podatności w połączeniu umożliwiają ominięcie uwierzytelniania i wykonanie dowolnych poleceń w systemie z uprawnieniami administratora.
Z uwagi na rolę urządzeń w zarządzaniu siecią, skutki kompromitacji wykraczają poza samo urządzenie. Atakujący może pozyskać przechowywane sekrety (m.in. klucze JWT, poświadczenia RADIUS, VPN, dane biometryczne), fałszować sesje administratora lub uzyskać dostęp do urządzeń w sieci wewnętrznej.
Podatności dotyczą oprogramowania UniFi OS Server oraz urządzeń korzystających z systemu UniFi OS. Pełna lista podatnych produktów wraz z zaleceniami dotyczącymi aktualizacji znajduje się w komunikacie producenta.
Rekomendujemy niezwłoczną aktualizację oprogramowania do wersji pozbawionych podatności. Z uwagi na to, że aktualizacja nie usuwa skutków wcześniejszej kompromitacji (np. wykradzionych kluczy JWT), zalecamy dodatkowo:
traktowanie każdej dostępnej z Internetu instancji, która nie została zaktualizowana zaraz po wydaniu poprawki, jako skompromitowanej,
ograniczenie dostępu do interfejsu webowego wyłącznie do zaufanych sieci zarządczych,
rotację sekretów, w tym kluczy podpisywania tokenów JWT oraz poświadczeń sieciowych,
weryfikację zarządzanych urządzeń pod kątem nieautoryzowanych zmian.
Potwierdzenie udanego ataku na urządzenie jest utrudnione ze względu na to, że atakujący po uzyskaniu uprawnień root może usunąć logi lokalne z urządzenia. Dlatego kluczowa jest weryfikacja ruchu sieciowego lub analiza logów zabezpieczonych w zewnętrznych systemach.
Rekomendujemy weryfikację dostępnych logów pod kątem następujących anomalii:
żądania do ścieżki /api/auth/validate-sso/, które zawierają zakodowane znaki pozwalające na atak path traversal, na przykład:
..%2f, ..%2e, %2e%2ezapytania do ścieżki /ucs/update/latest_package, które zawierają znaki specjalne powłoki systemowej służące do wstrzykiwania kodu (shell metacharacters),
niestandardowe procesy w systemie oraz podejrzane wywołania poleceń sudo dpkg, chmod lub systemctl uruchamianych przez konto usługowe ucs-update.
Szczegółowe informacje o podatnościach oraz zalecenia dotyczące aktualizacji znajdą Państwo w poniższych źródłach.
Komunikat producenta Security Advisory Bulletin 064
Artykuł na blogu Bishop Fox