L’agence américaine de sécurité des infrastructures, la CISA, alerte sur une exploitation active par des pirates de failles dans le système d’exploitation Ubiquiti UniFi OS et dans les serveurs série-vers-éthernet de Lantronix. Conformément à une directive de sécurité, les agences fédérales doivent appliquer les correctifs disponibles sous trois jours.
Les vulnérabilités d’Ubiquiti ajoutées au catalogue des failles exploitées sont :
- CVE-2026-34908 : un défaut de contrôle d’accès qui permet à un attaquant non authentifié d’effectuer des modifications non autorisées sur un système UniFi OS, ce qui peut conduire à une compromission totale.
- CVE-2026-34909 : une faille de traversée de répertoires qui donne accès à des fichiers sensibles du système d’exploitation sous-jacent, exposant potentiellement des fichiers de configuration, des identifiants et d’autres données critiques.
- CVE-2026-34910 : une validation incorrecte des entrées qui permet à un attaquant d’injecter et d’exécuter des commandes arbitraires au niveau du système d’exploitation.
Ubiquiti a publié des correctifs pour ces trois failles en mai, précisant qu’elles pouvaient être exploitées à distance sans privilèges. Les chercheurs de Bishop Fox ont ensuite démontré que ces trois vulnérabilités pouvaient être enchaînées pour obtenir une exécution de code à distance avec des privilèges élevés. Un script de détection gratuit a été publié sur GitHub pour aider à identifier les appareils vulnérables.
La faille exploitée sur les serveurs Lantronix est référencée CVE-2025-67038. Il s’agit d’une injection de commande au niveau racine de gravité critique, qui affecte le modèle EDS5000 équipé du micrologiciel 2.1.0.0R3. Cette vulnérabilité se situe dans le module HTTP RPC, qui exécute une commande shell pour journaliser les tentatives d’authentification échouées. Le nom d’utilisateur fourni est concaténé directement dans la commande shell sans assainissement, ce qui autorise l’exécution de commandes arbitraires.
Lantronix a publié un correctif et recommande aux utilisateurs de mettre à jour vers la version 2.2.0.0R1 de l’EDS5000.
La CISA n’a pas communiqué de détails sur les attaques observées pour ces quatre failles. Le statut concernant une utilisation éventuelle dans des campagnes de rançongiciel est marqué comme « inconnu ». Les administrateurs systèmes sont vivement encouragés à appliquer les mises à jour ou les mesures d’atténuation recommandées sans délai.