Thought Leadership
Drei geschlossene Sicherheitslücken in Ubiquiti UniFi OS ermöglichen unauthentifizierten Root-Zugriff.
Sicherheitsforscher von Bishop Fox haben eine kritische Angriffskette aufgedeckt, die einen unauthentifizierten Fernzugriff mit vollständigen administrativen Rechten (Root) auf den Ubiquiti UniFi OS Server ermöglicht. Für den Angriff werden drei Sicherheitslücken miteinander kombiniert, die in den Softwareversionen 5.0.6 und älter existieren und vom Hersteller im Mai 2026 behoben wurden. Es handelt sich um die Schwachstellen CVE-2026-34908 (fehlerhafte Zugriffskontrolle), CVE-2026-34909 (Path Traversal) und CVE-2026-34910 (Befehlsinjektion). In den offiziellen Herstellerhinweisen wurde die Möglichkeit einer Verkettung dieser einzelnen Fehler zur vollständigen Codeausführung aus der Ferne zunächst nicht erwähnt.
Die Ursache für die Umgehung der Zugriffskontrolle liegt in einer fehlerhaften Abstimmung bei der Verarbeitung eingehender Netzwerkanfragen. Während die interne Authentifizierungskomponente die rohe Anfrage-URI auswertet, leitet der vorgelagerte Nginx-Webserver die Anfrage auf Basis einer normalisierten Version weiter. Durch speziell präparierte Anfragen, die in ihrer Rohform wie eine erlaubte Ausnahme wirken, erlangen Angreifer Zugriff auf geschützte interne Routen. Über den Paket-Update-Endpunkt wird anschließend die Befehlsinjektion ausgeführt. Da das betroffene Dienstkonto über passwortlose Sudo-Rechte für Systemdateien verfügt, lässt sich die Berechtigung direkt auf Root-Ebene ausweiten.
Tragweite des Root-Zugriffs auf Ubiquiti-Netzwerk-Konsolen
Die Analysten weisen darauf hin, dass die Kompromittierung dieser spezifischen Server-Infrastruktur weitreichende physische und digitale Folgen für betroffene Organisationen nach sich zieht. Der administrative Zugriff hebelt die gesamte Sicherheitsarchitektur des Steuerungszentrums aus. Bishop Fox erklärte dazu im technischen Bericht:
„Ein UniFi OS Server ist keine generische Linux-Box; er ist die Verwaltungsebene für das Netzwerk einer Organisation, einschließlich, falls diese Geräte dort bereitgestellt sind, der physischen Zugangstüren, Überwachungskameras und der damit verknüpften Identitäten. Root auf der Appliance bedeutet administrative Kontrolle über alles, was die Konsole steuert.“
Bishop Fox
Erkennungswerkzeuge und Empfehlungen für Administratoren
Zur Überprüfung bestehender Systeme hat Bishop Fox ein kostenloses Erkennungsskript veröffentlicht. Das Werkzeug sendet eine modifizierte Anfrage an den Server, um zu prüfen, ob der verwundbare Code-Pfad erreichbar ist, ohne dabei schädliche Befehle auszuführen. Das Werkzeug kann jedoch keine bereits erfolgten Infiltrationen oder nachträglich installierte Hintertüren identifizieren.
Da der Angriff keine gültigen Anmeldedaten erfordert, fehlen klassische Protokolleinträge über fehlgeschlagene Logins. Die Forscher warnten: „Die Kette erreicht Root (wir haben es bestätigt) ohne Zugangsdaten und ohne Interaktion des Benutzers, sodass es keine Spuren von fehlgeschlagenen Anmeldungen gibt, nach denen man suchen müsste.“
Zur manuellen Identifikation potenzieller Angriffe wird die Überwachung folgender Indikatoren empfohlen:
- Log-Einträge mit dem Inhalt /api/auth/validate-sso/
- Netzwerkanfragen an den Pfad ucs/update/latest_package
- Verdächtige Kindprozesse unterhalb von ucs-update
- Unerwartete oder unübliche Sudo-Befehle im System
Die Sicherheitslücke ist in der Version UniFi OS Server 5.0.8 vollständig geschlossen. Administratoren wird der Umstieg auf diese oder eine neuere Version empfohlen, sofern vorab sichergestellt wurde, dass das System nicht bereits kompromittiert wurde.
(red)
