Ubiquiti a déployé des corrections de sécurité pour colmater trois failles de niveau maximal dans UniFi OS. Des attaquants distants peuvent exploiter ces vulnérabilités sans posséder de privilèges particuliers.
UniFi OS est un système d’exploitation unifié qui anime les consoles UniFi. Il sert à administrer une infrastructure informatique, avec ses réseaux, sa sécurité et d’autres services, ainsi que les applications UniFi comme UniFi Network, UniFi Protect, UniFi Access, UniFi Talk et UniFi Connect.
La première faille, référencée CVE-2026-34908, repose sur une erreur de contrôle d’accès. Elle autorise des modifications non sollicitées sur les systèmes visés. La seconde, identifiée comme CVE-2026-34909, est une vulnérabilité de type traversée de chemin qui donne accès à des fichiers du système sous-jacent. Cette technique peut être utilisée pour accéder à un compte.
Une troisième faille de gravité maximale, CVE-2026-34910, ouvre la porte à des injections de commande. Des acteurs malveillants peuvent en abuser s’ils ont d’abord obtenu un accès au réseau, car ils exploitent une validation incorrecte des entrées.
Jeudi, Ubiquiti a aussi corrigé une autre faille critique d’injection de commande (CVE-2026-33000) et une fuite d’information de haut niveau (CVE-2026-34911). Ces deux vulnérabilités touchent également les appareils fonctionnant avec UniFi OS.
Ubiquiti n’a pas indiqué si l’une de ces cinq failles a été exploitée avant leur divulgation. L’entreprise précise que des attaques peu complexes suffisent pour les utiliser et qu’elles ont été signalées via son programme de prime aux bugs sur HackerOne.
La société de renseignement sur les menaces Censys surveille actuellement près de 100 000 points d’accès UniFi OS exposés sur Internet. La majorité, soit environ 50 000 adresses IP, se trouve aux États-Unis.
On ignore toutefois combien de ces systèmes ont déjà été protégés contre les attaques potentielles qui visent les failles corrigées cette semaine par Ubiquiti.
En mars dernier, Ubiquiti avait déjà corrigé une autre faille de niveau maximal (CVE-2026-22557) dans l’application UniFi Network. Elle pouvait permettre à des attaquants de détourner des comptes utilisateurs. Une autre vulnérabilité (CVE-2026-22558) liée à une élévation de privilèges avait aussi été patchnée.
Ces dernières années, les produits Ubiquiti ont été la cible de groupes de pirates liés à des États et de cybercriminels. Ces campagnes cherchaient à les détourner pour constituer des botnets qui masquaient l’activité malveillante des attaquants.
Par exemple, en février 2024, le FBI a démantelé le botnet Moobot. Celui-ci était constitué de routeurs Ubiquiti Edge OS piratés, que la Direction générale du renseignement de l’état-major général russe (GRU) employait pour relayer du trafic malveillant. Ces attaques d’espionnage ciblaient les États-Unis et leurs alliés.
Il y a quatre ans, en avril 2022, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avait ajouté une faille critique d’injection de commande (CVE-2010-5330) dans Ubiquiti AirOS à son catalogue de vulnérabilités activement exploitées. Elle avait ordonné aux agences fédérales de sécuriser leurs appareils sous trois semaines.