- 27,413
- 46
- 8 Ноя 2022
Что нужно знать администраторам сетей Ubiquiti — и почему проверить систему нужно до обновления.
Один сервер управления сетью может стать точкой входа во всю инфраструктуру, если обновления откладывают «на потом». Специалисты Bishop Fox показали , что три уже исправленные уязвимости в Ubiquiti UniFi OS Server можно объединить в одну цепочку и выполнить код удалённо с правами root без логина, пароля и участия пользователя.
Проблемы получили идентификаторы:
CVE-2026-34908 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical),
CVE-2026-34909 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical),
CVE-2026-34910 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical).
Ubiquiti закрыла их в мае, уязвимыми считаются версии UniFi OS Server 5.0.6 и более ранние. Все три ошибки получили максимальную оценку опасности, хотя для атаки нужен доступ к сети, где находится сервер. В рекомендациях производителя не указывалось, что уязвимости можно связать в полноценную атаку с удалённым выполнением команд.
Первая ошибка связана с неправильным контролем доступа и позволяет вносить несанкционированные изменения. Вторая даёт возможность читать файлы в операционной системе через обход пути. Третья позволяет внедрять команды. По данным Bishop Fox, первые две уязвимости помогают обойти проверку подлинности и добраться до закрытой внутренней функции, а третья позволяет выполнить команду на сервере.
Причина обхода проверки подлинности оказалась в том, что разные части UniFi OS по-разному обрабатывают один и тот же запрос. Компонент проверки доступа смотрит на исходный адрес запроса, а Nginx направляет его уже после нормализации. Из-за такой разницы специально составленный запрос выглядит как обращение к разрешённому адресу, но фактически попадает во внутреннюю защищённую часть системы.
После обхода защиты атакующий может обратиться к функции обновления пакетов и передать туда данные, которые попадают в командную оболочку без должной проверки. Сначала команда выполняется не от имени root, но у служебной учётной записи есть права sudo без пароля для ряда системных программ. Поэтому повысить права до root, по оценке специалистов, не составит труда.
Bishop Fox проверила цепочку на рабочем экземпляре UniFi OS Server 5.0.6. Полный код атаки и готовый пример использования специалисты не публиковали. По их словам, для получения root-оболочки не нужны учётные данные, действия пользователя или заранее полученный доступ.
Опасность ситуации связана не только с самим сервером. UniFi OS Server управляет сетевой инфраструктурой организации, а в некоторых случаях также дверными системами, камерами наблюдения и связанными с ними учётными записями. Контроль с правами root фактически даёт контроль над всем, чем управляет такая консоль.
Bishop Fox выпустила бесплатный скрипт для проверки уязвимости. Инструмент отправляет безопасный специально составленный запрос, доходит до уязвимого участка кода, но не выполняет опасных команд. После проверки сервер получает один из статусов: уязвим, обновлён, не затронут или результат не определён.
Скрипт не показывает, атаковали ли сервер раньше, и не ищет следы закрепления в системе или скрытые входы. Определить, взламывали ли сервер раньше, может быть сложно, потому что атака проходит без входа в учётную запись, а значит, в журналах не будет привычной цепочки неудачных попыток авторизации.
Для ручной проверки специалисты советуют искать запросы с «/api/auth/validate-sso/», обращения к «ucs/update/latest_package», подозрительные дочерние процессы у «ucs-update» и неожиданные команды sudo. Bishop Fox подтвердила, что цепочка не работает в UniFi OS Server 5.0.8, поэтому администраторам нужно обновиться до этой версии или более поздней. При этом обновление лучше ставить только после проверки, что сервер уже не был скомпрометирован.
Один сервер управления сетью может стать точкой входа во всю инфраструктуру, если обновления откладывают «на потом». Специалисты Bishop Fox показали , что три уже исправленные уязвимости в Ubiquiti UniFi OS Server можно объединить в одну цепочку и выполнить код удалённо с правами root без логина, пароля и участия пользователя.
Проблемы получили идентификаторы:
CVE-2026-34908 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical),
CVE-2026-34909 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical),
CVE-2026-34910 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical).
Ubiquiti закрыла их в мае, уязвимыми считаются версии UniFi OS Server 5.0.6 и более ранние. Все три ошибки получили максимальную оценку опасности, хотя для атаки нужен доступ к сети, где находится сервер. В рекомендациях производителя не указывалось, что уязвимости можно связать в полноценную атаку с удалённым выполнением команд.
Первая ошибка связана с неправильным контролем доступа и позволяет вносить несанкционированные изменения. Вторая даёт возможность читать файлы в операционной системе через обход пути. Третья позволяет внедрять команды. По данным Bishop Fox, первые две уязвимости помогают обойти проверку подлинности и добраться до закрытой внутренней функции, а третья позволяет выполнить команду на сервере.
Причина обхода проверки подлинности оказалась в том, что разные части UniFi OS по-разному обрабатывают один и тот же запрос. Компонент проверки доступа смотрит на исходный адрес запроса, а Nginx направляет его уже после нормализации. Из-за такой разницы специально составленный запрос выглядит как обращение к разрешённому адресу, но фактически попадает во внутреннюю защищённую часть системы.
После обхода защиты атакующий может обратиться к функции обновления пакетов и передать туда данные, которые попадают в командную оболочку без должной проверки. Сначала команда выполняется не от имени root, но у служебной учётной записи есть права sudo без пароля для ряда системных программ. Поэтому повысить права до root, по оценке специалистов, не составит труда.
Bishop Fox проверила цепочку на рабочем экземпляре UniFi OS Server 5.0.6. Полный код атаки и готовый пример использования специалисты не публиковали. По их словам, для получения root-оболочки не нужны учётные данные, действия пользователя или заранее полученный доступ.
Опасность ситуации связана не только с самим сервером. UniFi OS Server управляет сетевой инфраструктурой организации, а в некоторых случаях также дверными системами, камерами наблюдения и связанными с ними учётными записями. Контроль с правами root фактически даёт контроль над всем, чем управляет такая консоль.
Bishop Fox выпустила бесплатный скрипт для проверки уязвимости. Инструмент отправляет безопасный специально составленный запрос, доходит до уязвимого участка кода, но не выполняет опасных команд. После проверки сервер получает один из статусов: уязвим, обновлён, не затронут или результат не определён.
Скрипт не показывает, атаковали ли сервер раньше, и не ищет следы закрепления в системе или скрытые входы. Определить, взламывали ли сервер раньше, может быть сложно, потому что атака проходит без входа в учётную запись, а значит, в журналах не будет привычной цепочки неудачных попыток авторизации.
Для ручной проверки специалисты советуют искать запросы с «/api/auth/validate-sso/», обращения к «ucs/update/latest_package», подозрительные дочерние процессы у «ucs-update» и неожиданные команды sudo. Bishop Fox подтвердила, что цепочка не работает в UniFi OS Server 5.0.8, поэтому администраторам нужно обновиться до этой версии или более поздней. При этом обновление лучше ставить только после проверки, что сервер уже не был скомпрометирован.
- Источник новости
- www.securitylab.ru
