Atacantes podem encadear três vulnerabilidades já corrigidas no servidor Ubiquiti UniFi OS para executar código remotamente com privilégios de root e sem autenticação.
As falhas são monitoradas como
CVE-2026-34908
,
CVE-2026-34909
e
CVE-2026-34910
.
Elas foram corrigidas em maio e afetam as versões 5.0.6 e anteriores do UniFi OS Server.
Embora as três falhas tenham recebido a classificação máxima de severidade, mesmo exigindo acesso à rede para exploração, o aviso do fabricante não informou que elas poderiam ser combinadas para viabilizar execução remota de código.
A
CVE-2026-34908
é uma falha de controle de acesso inadequado que pode permitir alterações não autorizadas em sistemas vulneráveis.
A
CVE-2026-34909
é uma vulnerabilidade de traversão de caminho que pode expor arquivos no sistema operacional subjacente.
A
CVE-2026-34910
é uma falha de injeção de comandos que pode ser explorada para executar comandos em dispositivos afetados.
Detalhes técnicos adicionais divulgados por pesquisadores da Bishop Fox, que validaram toda a cadeia de ataque em uma instância real do UniFi OS Server 5.0.6, mostram que a
CVE-2026-34908
e a
CVE-2026-34909
podem ser usadas para contornar a autenticação e alcançar um endpoint vulnerável, onde a
CVE-2026-34910
permite a injeção de comandos.
Embora os comandos injetados não sejam executados inicialmente como root, os pesquisadores descobriram que os privilégios sudo da conta de serviço afetada tornam a elevação de privilégios algo trivial.
Segundo a Bishop Fox, não são necessárias credenciais, interação do usuário ou acesso prévio para obter um shell de root no alvo.
“Um UniFi OS Server não é uma caixa Linux genérica; ele é a camada de gerenciamento da rede de uma organização, incluindo, quando esses dispositivos estão implantados, portas de acesso físico, câmeras de vigilância e as identidades vinculadas a eles”, explicou a Bishop Fox.
“Ter root no aparelho significa controle administrativo sobre tudo o que o console governa.”
A causa raiz do contorno de autenticação está em uma divergência entre a forma como o UniFi OS valida e encaminha as requisições recebidas.
Especificamente, o componente de autenticação avalia o URI bruto da requisição, enquanto o Nginx encaminha as requisições com base em uma versão normalizada do mesmo URI.
Ao criar requisições que parecem apontar, na forma bruta, para um endpoint isento de autenticação, mas que se resolvem em rotas internas protegidas após a normalização, os atacantes conseguem burlar a autenticação e alcançar serviços de backend que não deveriam estar acessíveis publicamente.
Uma vez dentro, os atacantes podem atingir um endpoint de atualização de pacotes com a
CVE-2026-34910
, passando entrada não validada do usuário para um comando de shell e executando comandos arbitrários no sistema.
Os comandos injetados são executados sob uma conta de serviço altamente privilegiada, com acesso sudo sem senha a vários binários do sistema, o que torna a elevação até root praticamente imediata.
Embora os pesquisadores tenham validado a cadeia de execução remota de código, eles não divulgaram todos os detalhes nem um proof of concept funcional.
A Bishop Fox publicou um script gratuito de detecção para ajudar defensores a descobrir se sua instância é vulnerável à cadeia de execução remota de código sem autenticação.
A ferramenta envia com segurança uma requisição especialmente criada para alcançar o caminho vulnerável sem executar comandos perigosos e classifica o alvo como “vulnerável”, “corrigido”, “não afetado” ou “inconclusivo”.
No entanto, é importante observar que o script não detecta ataques em andamento, não indica se houve exploração no passado e não identifica a presença de mecanismos de persistência ou backdoors no alvo.
Os pesquisadores observam que identificar uma exploração anterior pode ser difícil porque o ataque não exige autenticação.
“A cadeia chega ao root, e isso foi confirmado, sem credenciais e sem interação do usuário, então não há trilha de falha de login para procurar”, alertou a Bishop Fox.
Além da ferramenta, defensores também podem procurar requisições contendo “/api/auth/validate-sso/” e monitorar pedidos para “ucs/update/latest_package”, processos filhos suspeitos sob “ucs-update” e comandos sudo inesperados.
A Bishop Fox confirmou que a cadeia de ataque não funciona no UniFi OS Server 5.0.8, então os usuários devem atualizar para essa versão ou posterior.
Ainda assim, as organizações devem confirmar se a atualização foi instalada em um sistema que não tenha sido comprometido.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...