Ubiquitiは、特権を持たないリモート攻撃者によって悪用される可能性のあるUnify OSの3つの最大重大度の脆弱性にパッチを当てるセキュリティアップデートをリリースしました。
UniFi OSは、UniFiコンソールを強化し、ネットワーク、セキュリティ、その他のサービスなどのIT インフラストラクチャを管理するのに役立つ統合オペレーティングシステムであり、UniFi Network、UniFi Protect、UniFi Access、UniFi Talk、UniFi Connectなどのアプリケーションです。
最初の欠陥(動画プレーヤーが現在広告を再生中です。マウスまたはキーボードで5秒でスキップできます
3番目の最大重大度のセキュリティ問題(CVE-2026-34910)により、悪意のある行為者は、不適切な入力検証の脆弱性を悪用してネットワークアクセスを取得した後、コマンドインジェクション攻撃を起動できます。
木曜日、Ubiquitiは2番目の重大なコマンドインジェクション欠陥(CVE-2026-33000)と、Unifi OSデバイスに影響する高重大度の情報開示(CVE-2026-34911)にパッチを当てました。
Ubiquitiは、5つの脆弱性のいずれかが開示前に野生で悪用されたかどうかをまだ開示していませんが、低複雑性の攻撃で悪用でき、そのHackerOne バグ報奨金プログラムで報告されたことを共有しました。
現在、脅威インテリジェンス企業のCensysは、インターネットに公開されているほぼ100,000のUniFi OSエンドポイントを追跡しており、そのほとんど(ほぼ50,000のIPアドレス)は米国で見つかっています。
ただし、現在、Ubiquitiが今週パッチを当てた脆弱性をターゲットにした潜在的な攻撃からいくつが保護されているかについては、情報がありません。
3月、UbiquitiはUniFi Network Applicationで別の最大重大度の欠陥(CVE-2026-22557)にパッチを当てました。これは攻撃者がユーザーアカウントを引き継ぐ可能性があり、特権をエスカレートするために悪用できる脆弱性(CVE-2026-22558)もあります。
Ubiquitiの製品は、近年、国家が支援するハッキンググループとサイバー犯罪者の両方によってターゲットにされており、それらをボットネットを構築するために乗っ取られ、脅威行為者の悪意のあるアクティビティを隠すキャンペーンがあります。
たとえば、2024年2月、FBIはMoobotを削除しました。これはロシアの総参謀本部情報局(GRU)によって使用されたハッキングされたUbiquiti Edge OSルーターのボットネットで、米国とその同盟国をターゲットにしたサイバースパイ活動で悪意のあるトラフィックをプロキシします。
4年前の2022年4月、米国サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)も、Ubiquiti AirOsの重大なコマンドインジェクション欠陥(CVE-2010-5330)をアクティブに悪用される脆弱性のカタログに追加し、連邦機関に指示しましたデバイスを3週間以内に保護するため。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。あなたは6つが必要です。
自動ペネトレーションテストツールは実質的な価値を提供しますが、1つの質問に答えるために構築されました。攻撃者はネットワークを移動できますか? コントロールが脅威をブロックするかどうか、検出ルールが発火するかどうか、またはクラウド構成が保持されるかどうかをテストするために構築されていませんでした。
このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。
