Злоумышленники могли объединить три уже исправленные уязвимости в сервере Ubiquiti UniFi OS для выполнения удалённого кода с правами root и без аутентификации. Уязвимости отслеживаются как CVE-2026-34908, CVE-2026-34909 и CVE-2026-34910. Они были устранены в мае и затрагивают версии UniFi OS Server 5.0.6 и более ранние.
-
CVE-2026-34908 — это уязвимость некорректного контроля доступа, которая может позволить несанкционированные изменения в уязвимых системах.
-
CVE-2026-34909 — это уязвимость обхода пути, которая может привести к раскрытию файлов в базовой операционной системе.
-
CVE-2026-34910 — это уязвимость внедрения команд, которую можно использовать для выполнения команд на затронутых устройствах.
Хотя все три уязвимости получили максимальный уровень серьёзности, несмотря на то, что для их эксплуатации требуется доступ к сети, в уведомлении производителя не упоминалось о возможности их объединения для удалённого выполнения кода.
Между тем исследователи Bishop Fox подтвердили полный путь атаки на работающем экземпляре UniFi OS Server 5.0.6. Так, CVE-2026-34908 и CVE-2026-34909 могут быть использованы для обхода аутентификации и достижения уязвимой конечной точки, где CVE-2026-34910 позволяет внедрять команды.
Хотя внедряемые команды изначально не выполняются с root-доступом, исследователи обнаружили, что привилегии sudo у затронутой учётной записи службы делают повышение привилегий тривиальным. Для получения root-доступа к целевой системе не требуются учётные данные, взаимодействие с пользователем или предварительный доступ.
«Сервер UniFi OS — это не обычный Linux-сервер; это плоскость управления сетью организации, включая места развёртывания этих устройств, физические двери доступа, камеры видеонаблюдения и связанные с ними учётные записи. Root-доступ к устройству дает административный контроль над всем, что управляется консолью», — отметили исследователи.
Причина обхода аутентификации — несоответствие между тем, как UniFi OS проверяет и маршрутизирует входящие запросы. В частности, компонент аутентификации оценивает необработанный URI запроса, в то время как Nginx маршрутизирует запросы на основе нормализованной версии того же URI.
Создавая запросы, которые в необработанном виде кажутся нацеленными на конечную точку, но после разрешаются в защищённые внутренние маршруты, злоумышленники могут обойти аутентификацию и получить доступ к бэкенд-сервисам, которые не должны быть общедоступными. Это позволяет атаковать конечную точку обновления пакетов с уязвимостью CVE-2026-34910, передавая непроверенные пользовательские данные в команду оболочки для выполнения произвольных команд в системе.
Внедрённые команды выполняются от имени высокопривилегированной учётной записи службы с доступом к нескольким системным исполняемым файлам без пароля (sudo).
Хотя исследователи подтвердили наличие цепочки удалённого выполнения кода, они не поделились полными подробностями или рабочим доказательством концепции (PoC). Bishop Fox выпустил бесплатный скрипт обнаружения, который помогает защитникам определить, уязвима ли их система к цепочке атак без аутентификации.
Это возможно благодаря безопасной отправке специально сформированного запроса, который достигает уязвимого участка кода без выполнения каких-либо опасных команд, а затем классифицируя цель как «уязвимую», «исправленную», «не затронутую» или «неопределённую». Однако важно отметить, что скрипт не обнаруживает активных атак, не выявляет случаев эксплуатации уязвимостей в прошлом, а также наличие механизмов закрепления или бэкдоров на целевой системе.
«Цепочка атак достигает корневого узла (мы это подтвердили) без учётных данных и взаимодействия с пользователем, поэтому нет следов неудачных попыток входа в систему, которые можно было бы найти», — предупреждают исследователи.
Специалисты по защите могут также отслеживать запросы, содержащие «/api/auth/validate-sso/», и вести мониторинг запросов к «ucs/update/latest_package», подозрительных дочерних процессов в «ucs-update» и неожиданных команд sudo.
Атака не работает на UniFi OS Server 5.0.8, поэтому пользователям следует обновиться до этой или более поздней версии. Однако организациям следует убедиться, что обновление установлено на системе, которая не была скомпрометирована.
ссылка на оригинал статьи https://habr.com/ru/articles/1045264/