Des pirates peuvent associer trois failles déjà corrigées dans le serveur Ubiquiti UniFi OS pour exécuter du code à distance avec les privilèges de superutilisateur et sans aucune authentification.
Ces problèmes de sécurité sont répertoriés sous les identifiants CVE-2026-34908, CVE-2026-34909 et CVE-2026-34910. Ils ont été résolus en mai et concernent les versions du serveur UniFi OS antérieures ou égales à la version 5.0.6.
Bien que ces trois vulnérabilités aient reçu le niveau de gravité maximal, l’avis du fournisseur n’indiquait pas qu’elles pouvaient être enchaînées pour obtenir une exécution de code à distance.
- CVE-2026-34908 est un défaut de contrôle d’accès qui autorise des modifications non autorisées sur les systèmes vulnérables.
- CVE-2026-34909 est une vulnérabilité de type traversée de répertoire qui peut exposer des fichiers du système d’exploitation sous-jacent.
- CVE-2026-34910 est une faille d’injection de commande qui peut être exploitée pour exécuter des commandes sur les appareils affectés.
Des informations techniques supplémentaires, issues des chercheurs de Bishop Fox, montrent que les failles CVE-2026-34908 et CVE-2026-34909 peuvent être utilisées pour contourner l’authentification et atteindre un point d’accès vulnérable, tandis que CVE-2026-34910 permet l’injection de commande.
Même si les commandes injectées ne s’exécutent pas immédiatement avec les droits racine, les chercheurs ont constaté que les privilèges sudo du compte de service affecté rendent l’élévation de privilèges triviale.
Selon Bishop Fox, aucun mot de passe, interaction de l’utilisateur ou accès préalable n’est nécessaire pour obtenir un shell avec des droits de superutilisateur sur la cible.
« Un serveur UniFi OS n’est pas une simple machine Linux ; c’est le plan de gestion du réseau d’une organisation. Lorsque ces appareils sont déployés, ils contrôlent aussi les portes d’accès physique, les caméras de surveillance et les identités qui y sont liées », précise Bishop Fox. « Un accès racine à l’appareil confère un contrôle administratif sur tout ce que la console gère. »
Cause racine et chaîne d’exploitation
La cause du contournement d’authentification provient d’une divergence entre la manière dont UniFi OS valide et achemine les requêtes entrantes.
Le composant d’authentification évalue l’URI brut de la requête, alors que Nginx achemine les requêtes selon une version normalisée de cette même URI.
En forgeant des requêtes qui semblent cibler un point de terminaison exempté d’authentification dans leur forme brute, mais qui se résolvent vers des routes internes protégées après normalisation, des attaquants peuvent contourner l’authentification et atteindre des services qui ne devraient pas être accessibles publiquement.
Une fois à l’intérieur, les attaquants peuvent cibler un point de terminaison de mise à jour de paquets avec la faille CVE-2026-34910. Ils peuvent alors transmettre des entrées utilisateur non validées dans une commande shell pour exécuter des commandes arbitraires sur le système.
Les commandes injectées s’exécutent sous un compte de service très privilégié qui dispose d’un accès sudo sans mot de passe à plusieurs binaires système, ce qui rend l’escalade vers le compte racine facile.
Bien que les chercheurs aient validé la chaîne d’exécution de code à distance, ils n’ont pas partagé tous les détails ni fourni de preuve de concept fonctionnelle.
Un outil de détection est disponible
Bishop Fox a publié un script de détection gratuit pour aider les défenseurs à vérifier si leur instance est vulnérable à cette chaîne d’exécution de code à distance sans authentification.
Le script envoie de manière sécurisée une requête spécialement conçue qui atteint le chemin de code vulnérable sans exécuter de commandes dangereuses. Il classe ensuite la cible comme « vulnérable », « corrigée », « non affectée » ou « indéterminée ».
Il faut noter que ce script ne détecte pas les attaques actives, ni les exploitations passées ou la présence de mécanismes de persistance ou de portes dérobées sur la cible.
Les chercheurs indiquent qu’identifier une exploitation antérieure peut être difficile car l’attaque ne requiert pas d’authentification.
« La chaîne permet d’atteindre les privilèges racine sans identifiants et sans interaction utilisateur. Il n’y a donc aucune trace de tentatives de connexion échouées à rechercher », avertit Bishop Fox.
En plus de l’outil, les défenseurs peuvent rechercher les requêtes contenant « /api/auth/validate-sso/ » et surveiller les requêtes vers « ucs/update/latest_package », les processus enfants suspects sous « ucs-update », et les commandes sudo inattendues.
Bishop Fox a confirmé que la chaîne d’attaque ne fonctionne pas sur la version UniFi OS Server 5.0.8. Les utilisateurs doivent donc mettre à niveau vers cette version ou une version ultérieure.
Cependant, les organisations doivent vérifier que la mise à jour est installée sur un système qui n’a pas été compromis.