単一のネットワーク管理サーバーが、壊滅的な侵入口へと変貌する可能性があります。重要なソフトウェアのアップデートを先送りにすることは、企業のセキュリティリスクを指数関数的に高めます。Bishop Foxのセキュリティ研究者たちが、深刻なアーキテクチャ上の脅威を明らかにしました。具体的には、Ubiquiti UniFi OSサーバー環境において、既にパッチが適用された3つの脆弱性を連鎖させる手法が発見されました。これにより、認証なしのリモート攻撃者がroot権限で任意のコードを実行できます。この危険な手法は、資格情報やユーザーの操作を一切必要としません。
重大な脅威ベクターの分析
このエクスプロイトチェーンは、それぞれ個別の識別子で登録された3つの欠陥を悪用します:
- CVE-2026-34908(CVSS 10.0 緊急)
- CVE-2026-34909(CVSS 10.0 緊急)
- CVE-2026-34910(CVSS 10.0 緊急)
Ubiquitiは2026年5月にこれらの問題を修正しました。影響を受けるバージョンはUniFi OSサーバー5.0.6以前と指定されています。悪用にはローカルネットワークへのアクセスが必要であるものの、3つの欠陥はすべて最高の深刻度評価を受けています。注目すべき点は、メーカーが当初公開したアドバイザリには、これらの欠陥が連鎖可能であることが開示されていなかったことです。
脆弱性カスケードの解剖
仕組みとして、最初の欠陥は不適切なアクセス制御により、権限なしにシステムを変更できるものです。2つ目の欠陥は、パストラバーサル操作によって任意のファイルを開示することを可能にします。そして3つ目の脆弱性は、リモートからのコマンドインジェクションを可能にします。
Bishop Foxによると、最初の2つの欠陥により攻撃者は認証ゲートを回避できます。その後、攻撃者はこのアクセスを利用して保護された内部機能と通信します。最終的に、3つ目の脆弱性によってホスティングサーバー上で直接任意のコマンドが実行されます。
アーキテクチャ上のパース不整合
この認証バイパスは、内部コンポーネント間のアーキテクチャ上のパース競合に起因しています。具体的には、アクセス検証モジュールは生のまま未パースのリクエストパスを評価します。一方でNginxは、パスを完全に正規化した後にのみデータペイロードをルーティングします。
そのため、精巧に細工されたリクエストが正規のエンドポイントルートを偽装することができます。その結果、悪意あるトラフィックが堅牢化されたシステムの中枢深くまで侵入します。
内部に侵入すると、攻撃者はネイティブのパッケージ更新サブルーチンを呼び出します。続いて、検証されていないデータ文字列をシステムシェルに直接渡します。当初、これらのコマンドは制限されたシステムサービスアカウントのコンテキストで実行されます。
しかし、この特定のサービスプロファイルはシステムユーティリティに対するパスワードなしのsudo権限を持っています。そのため、最高位のroot権限への昇格は極めて容易です。
運用への影響とフォレンジクス
Bishop Foxはバージョン5.0.6の実環境に対してこのエクスプロイトチェーンを検証することに成功しました。環境的な特性から、その危険性はローカルコンソールインフラを遥かに超えて広がっています。実際、UniFi OSサーバーは企業ネットワーク全体を管理するケースが少なくありません。コンソールは物理アクセスバリア、監視システム、および認証情報リポジトリを同時に管理しています。そのため、root権限を取得することは、管理された境界の完全な制御権を手に入れることを意味します。
さらに、Bishop Foxは無料の非破壊型診断ユーティリティを公開しました。このツールは有害なペイロードを実行することなく、対象のコードパスを安全に検査します。実行後、対象システムに対して脆弱性の有無が明確に判定されます。
ただし、このツールは過去の侵害や潜伏している持続的侵害メカニズムを検出することはできません。過去の侵害を特定することは、極めて困難なフォレンジクス上の課題であることは否めません。このエクスプロイトは認可チェックを回避するため、通常のセキュリティログには典型的な失敗エントリーが残らないからです。
手動によるフォレンジクス調査では、/api/auth/validate-sso/の文字列パターンをスキャンすることが推奨されます。同時に、防御側はucs/update/latest_packageへの予期しないクエリをシステムレコードで監査する必要があります。また、ucs-updateサービスによって生成された異常な子プロセスについても監視が必要です。
Bishop Foxは、バージョン5.0.8に対してはこのエクスプロイトチェーンが機能しないことを確認しました。したがって、管理者は直ちに最新バージョンへの移行が必要です。なお、パッチ適用前に徹底した侵害評価を実施することを強く推奨します。
翻訳元: https://meterpreter.org/unifi-os-server-exploit/
