Критическая сбой в UniFi OS позволила хакерам получить root-права без аутентификации

Злоумышленники могли объединить три уже исправленные уязвимости в сервере Ubiquiti UniFi OS для выполнения удалённого кода с правами root и без аутентификации. Уязвимости отслеживаются как CVE-2026-34908, CVE-2026-34909 и CVE-2026-34910. Они были устранены в мае и затрагивают версии UniFi OS Server 5.0.6 и более ранние.

• CVE-2026-34908 — это уязвимость некорректного контроля доступа, которая может позволить несанкционированные изменения в уязвимых системах.

• CVE-2026-34909 — это уязвимость обхода пути, которая может привести к раскрытию файлов в базовой операционной системе.

• CVE-2026-34910 — это уязвимость внедрения команд, которую можно использовать для выполнения команд на затронутых устройствах.

Хотя все три уязвимости получили максимальный уровень серьёзности, вопреки то, что для их эксплуатации требуется доступ к сети, в уведомлении производителя не упоминалось о возможности их объединения для удалённого выполнения кода.

Между тем исследователи Bishop Fox подтвердили цельный путь атаки на работающем экземпляре UniFi OS Server 5.0.6. Так, CVE-2026-34908 и CVE-2026-34909 могут быть использованы для обхода аутентификации и достижения уязвимой конечной точки, где CVE-2026-34910 даёт возможность внедрять команды.

Хотя внедряемые команды изначально не выполняются с root-доступом, исследователи обнаружили, что привилегии sudo у затронутой учётной записи службы делают повышение привилегий тривиальным. Для получения root-доступа к целевой системе не требуются учётные данные, взаимодействие с пользователем или предварительный доступ.

«Сервер UniFi OS — это не обычный Linux-сервер; это плоскость управления сетью организации, в том числе места развёртывания этих устройств, физические двери доступа, камеры видеонаблюдения и связанные с ними учётные записи. Root-доступ к устройству дает административный контроль над всем, что управляется консолью», — отметили исследователи.

Причина обхода аутентификации — несоответствие между тем, как UniFi OS проверяет и маршрутизирует входящие запросы. В частности, компонент аутентификации оценивает необработанный URI запроса, в то время как Nginx маршрутизирует запросы на основе нормализованной версии того же URI.

Создавая запросы, которые в необработанном виде кажутся нацеленными на конечную точку, но после разрешаются в защищённые внутренние маршруты, злоумышленники могут обойти аутентификацию и получить доступ к бэкенд-сервисам, которые не должны быть общедоступными. Это даёт возможность атаковать конечную точку обновления пакетов с уязвимостью CVE-2026-34910, передавая непроверенные пользовательские информация в команду оболочки для выполнения произвольных команд в системе.

Внедрённые команды выполняются от имени высокопривилегированной учётной записи службы с доступом к нескольким системным исполняемым файлам без пароля (sudo).

Хотя исследователи подтвердили наличие цепочки удалённого выполнения кода, они не поделились полными подробностями или рабочим доказательством концепции (PoC). Bishop Fox выпустил бесплатный скрипт обнаружения, который помогает защитникам определить, уязвима ли их система к цепочке атак без аутентификации.

Это возможно благодаря безопасной отправке специально сформированного запроса, который достигает уязвимого участка кода без выполнения каких-либо опасных команд, а затем классифицируя цель как «уязвимую», «исправленную», «не затронутую» или «неопределённую». Тем не менее важно отметить, что скрипт не обнаруживает активных атак, не выявляет случаев эксплуатации уязвимостей в прошлом, а равным образом наличие механизмов закрепления или бэкдоров на целевой системе.

«Цепочка атак достигает корневого узла (мы это подтвердили) без учётных данных и взаимодействия с пользователем, следовательно нет следов неудачных попыток входа в систему, которые можно было бы найти», — предупреждают исследователи.

Специалисты по защите могут равным образом отслеживать запросы, содержащие «/программный интерфейс/auth/validate-sso/», и вести мониторинг запросов к «ucs/update/latest_package», подозрительных дочерних процессов в «ucs-update» и неожиданных команд sudo.

Атака не работает на UniFi OS Server 5.0.8, поэтому пользователям следует обновиться до этой или более поздней версии. Тем не менее организациям следует убедиться, что апдейт установлено на системе, которая не была скомпрометирована.