Ubiquitiは、UniFi OSに存在する7件の緊急(critical)脆弱性を修正するセキュリティアップデートをリリースしました。この中には、コマンドインジェクション攻撃に悪用可能な最大深刻度の欠陥として追跡されているCVE-2026-50746も含まれています。
CVE-2026-50746の脆弱性は、UniFi Connect Application(バージョン3.4.16以前)に影響します。これは、Ubiquitiの顧客がスマートLED照明システムや電気自動車充電器などの商業ビル運用を単一のインターフェースから自動化・管理できる管理ソフトウェアスイートです。
「ネットワークへのアクセス権を持つ悪意ある攻撃者は、UniFi Connect Applicationに存在するアクセス制御不備の脆弱性を悪用し、ホストデバイス上でコマンドインジェクションを実行できる可能性があります」とUbiquitiは説明しています。
同社は、影響を受けるUniFi Connectアプリをバージョン3.4.20以降にアップデートし、潜在的な攻撃からシステムを保護するようユーザーに勧告しています。
木曜日には、Ubiquitiがさらに6件の緊急深刻度のセキュリティ問題(CVE-2026-50747、CVE-2026-50748、CVE-2026-54400、CVE-2026-54402、CVE-2026-55115、CVE-2026-55116)を修正しました。対象は、UniFi Talk、UniFi Access、UniFi Protectの各アプリケーション、同社のUniFi OS Server、そして幅広いUbiquiti製ルーター、ゲートウェイ、NAS、監視システムに及びます。
Ubiquitiは、これらの脆弱性のいずれかが修正前に実際の攻撃で悪用されていたかどうかについてはまだ明らかにしていませんが、そのうち6件はユーザーの操作を必要としない低複雑度の攻撃で悪用可能であることを明らかにしています。
脅威インテリジェンス企業のCensysは現在、インターネット上に公開されている10万台超のUniFi OSインスタンスを追跡しており、そのうちの大半(約5万件のIPアドレス)が米国で見つかっています。しかし、これらのうち何台が既にこれらの脆弱性に対して保護済みなのか、あるいはハニーポットであるのかについての詳細は不明です。

国家支援型の脅威グループやサイバー犯罪ハッキンググループは近年、Ubiquiti製品を頻繁に標的にしており、これらを乗っ取って悪意ある活動を隠すためのボットネット構築に利用してきました。
例えば2024年2月には、FBIがMoobotを解体しました。これは、ロシアの参謀本部情報総局(GRU)がサイバースパイ攻撃において悪意あるトラフィックのプロキシとして利用していた、Ubiquiti製EdgeOSルーターのボットネットでした。
その4年前の2022年4月には、米サイバーセキュリティ・インフラセキュリティ庁(CISA)も、Ubiquiti AirOSに存在する緊急のコマンドインジェクションの欠陥(CVE-2010-5330)を既知の悪用済み脆弱性カタログに追加し、政府機関に対して3週間以内にデバイスを修正するよう命じています。
さらに最近では6月に、CISAが1か月前に既に修正されていた3件の最大深刻度のUniFi OS脆弱性について、ハッカーによる実際の悪用が確認されていると警告し、各機関に3日以内のシステム保護を義務付けました。
Bishop Foxはその後、これらの脆弱性を連鎖させることで、認証なしに昇格権限でのリモートコード実行が可能になることを実証し、防御者が自身の環境内で脆弱なインスタンスを発見できるよう無料の検出スクリプトを公開しました。
攻撃者に先んじて、あらゆる防御層をテスト
セキュリティチームが記録できている攻撃の成功例はわずか54%、アラートが検知できているのはたった14%です。残りは環境内を見つからないまま移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、検知をすり抜ける脅威を防ぐかを解説しています。