Ubiquitiは、UniFi OS Serverに存在する3件の深刻な脆弱性にパッチを適用しました。これらの脆弱性を連鎖させることで、認証なしにroot権限でのリモートコード実行が可能になります。
Bishop Foxのセキュリティ研究者は、バージョン5.0.6においてエクスプロイトチェーン全体をエンドツーエンドで確認しました。巧妙に細工された1つのHTTPリクエストだけで、認証情報もユーザー操作も一切不要のままrootシェルを取得できることが実証されています。
これらの脆弱性はCVE-2026-34908、CVE-2026-34909、CVE-2026-34910として追跡されており、いずれもCVSS 3.1スコアは10.0です。Ubiquitiは2026年5月21日、セキュリティアドバイザリーブレティン064(SAB-064)を通じて5件すべての脆弱性を公開しました。修正はUniFi OS Server 5.0.8(unifi-core 5.0.153)で提供されています。
UniFi OS Serverは、TLS終端・認証・内部バックエンドサービスへのプロキシ処理を担うNginxフロントエンドを通じて、すべてのトラフィックをルーティングしています。
CVE-2026-34908 / CVE-2026-34909 – 認証ゲートウェイバイパス:認証ハンドラーは、あるルートが公開免除対象かどうかを判断する際に、パーセントエンコードされた生のリクエストURI($request_uri)を参照します。
一方でNginxは、アップストリームバックエンドの選択に正規化済みURI($uri)を使用します。この正規化処理では、%2fが/にデコードされ、../シーケンスが折りたたまれます。
攻撃者は、生の形式では認証免除プレフィックスである/api/auth/validate-sso/で始まりゲートのチェックをパスしながら、正規化された形式では認証が必要な内部プロキシルートに解決されるリクエストを巧みに作成します。
CVE-2026-34910 – パッケージ更新サービスにおけるコマンドインジェクション:ゲートウェイの背後にはパッケージ更新ハンドラーが存在し、呼び出し元が指定したパッケージ名を受け取り、fmt.Sprintfを通じてコマンド文字列に組み込んだうえでsh -cで実行します。
バージョン5.0.6では、パッケージ名に対するバリデーションが存在しないため、攻撃者が制御する値に含まれるシェルメタキャラクターがそのまま解釈されます。ゲートウェイバイパス経由でこのハンドラーに到達することで、認証不要のコマンドインジェクションが成立します。
コマンドインジェクションは最初、ucs-updateサービスアカウントとして実行されますが、このアカウントは/usr/bin/dpkg、/bin/chmod、/bin/systemctl、/usr/bin/uosに対してパスワードなしのsudo権限を保持しています。
研究者らは細工した.debパッケージをインストールし、そのポストインストールスクリプトがrootとして実行されることを確認しました。これにより、わずか1ステップで完全な権限昇格が実現することが実証されています。
UniFi OS ServerにおけるrootアクセスとEvery general-purposeなLinuxボックスにおけるrootは、意味が大きく異なります。このアプライアンスは組織全体のネットワーク管理プレーンであり、物理環境に導入されている場合は、ドアや監視カメラも管理対象に含まれます。
rootを取得した攻撃者はJWT署名鍵を読み取り、パッチ適用・パスワードリセット・再起動後も有効な永続的な管理者セッションを偽造できるほか、TLSの秘密鍵、クラウドアクセストークン、PostgreSQLユーザーデータベースの全内容なども外部に持ち出すことができます。
Bishop Foxが確認したところ、流出した署名鍵からオフラインで生成したowner-scope JWTトークンは、脆弱なバージョン5.0.6だけでなく、完全にパッチ適用済みの5.0.8コンソールに対しても認証に成功しました。
パッチは侵入口を塞ぐものの、トークン検証モデルは変更されていません。つまり、パッチ適用前に盗まれた署名鍵は、以後も無期限に有効な管理者セッションを生成し続けることになります。
UniFi AccessおよびUniFi Protectが導入されている環境では、同じ管理者権限により、物理的なドアの解錠、NFCおよび顔認証情報の複製、ライブカメラ映像の閲覧、録画済み監視映像の削除なども可能になります。
UniFi OS Server 5.0.6以下(unifi-core 5.0.126)を実行しているインスタンスが影響を受けます。
ハードウェアアプライアンスのオーナーは、モデルごとの修正バージョンをSAB-064で確認してください。大半のCloud GatewayおよびDream Machineは5.1.12以降が必要で、UNASラインは5.1.10、Dream Machine Beastは5.1.11、UniFi Expressは4.0.14が必要です。
Nginxのアクセスログには、バイパスの特徴的なシグネチャが記録されます。具体的には、/api/auth/validate-sso/を含むリクエストURIに、..%2fや%2e%2eといったエンコードされたパストラバーサルシーケンスが伴っているケースです。
さらに、パラメーターにシェルメタキャラクターを含むパッケージ更新ルート(.../ucs/update/latest_package)へのアクセス、およびucs-updateサービスアカウントによる異常なsudo dpkg、chmod、systemctlの呼び出しも、監視対象として注意してください。
翻訳元: https://cyberpress.org/critical-unifi-os-flaws/