Penyerang dapat merantai tiga kerentanan yang sudah diperbaiki di server Ubiquiti UniFi OS untuk mengeksekusi kode jarak jauh dengan hak akses root dan tanpa otentikasi.
Masalah keamanan dilacak sebagai CVE-2026-34908, CVE-2026-34909, dan CVE-2026-34910. Masalah ini telah diatasi pada bulan Mei dan berdampak pada UniFi OS Server versi 5.0.6 dan yang lebih lama.
Sementara ketiga kekurangan tersebut diterima peringkat keparahan maksimum meskipun eksploitasinya memerlukan akses ke jaringan, penasehat vendor tidak menyebutkan bahwa mereka dapat dirantai untuk eksekusi kode jarak jauh.
- CVE-2026-34908 adalah kelemahan kontrol akses yang tidak tepat yang memungkinkan perubahan tidak sah pada sistem yang rentan
- CVE-2026-34909 adalah kerentanan traversal jalur yang dapat mengekspos file pada sistem operasi yang mendasarinya
- CVE-2026-34910 adalah kelemahan injeksi perintah yang dapat dieksploitasi untuk menjalankan perintah pada perangkat yang terpengaruh
Detail teknis tambahan dari peneliti Bishop Fox, yang memvalidasi jalur serangan lengkap pada instans UniFi OS Server 5.0.6 langsung, menunjukkan bahwa CVE-2026-34908 dan CVE-2026-34909 dapat digunakan untuk melewati otentikasi dan mencapai titik akhir yang rentan, di mana CVE-2026-34910 mengaktifkan injeksi perintah.
Meskipun perintah yang disuntikkan pada awalnya tidak dijalankan sebagai root, para peneliti menemukan bahwa hak istimewa sudo akun layanan yang terpengaruh membuat peningkatan hak istimewa menjadi sepele.
Menurut Bishop Fox, tidak diperlukan kredensial, interaksi pengguna, atau akses sebelumnya untuk mendapatkan shell root pada target.
“Server OS UniFi bukanlah kotak Linux umum; ini adalah bidang manajemen untuk jaringan organisasi, termasuk, di mana perangkat tersebut digunakan, pintu akses fisiknya, kamera pengintai, dan identitas yang terkait dengannya,” jelas Uskup Fox.
“Root pada peralatan adalah kontrol administratif atas segala sesuatu yang diatur oleh konsol.”
Akar penyebab dan rantai eksploitasi
Penyebab utama bypass autentikasi adalah ketidakcocokan antara cara UniFi OS memvalidasi dan merutekan permintaan masuk.
Secara khusus, komponen autentikasi mengevaluasi URI permintaan mentah, sementara Nginx merutekan permintaan berdasarkan versi normal dari URI yang sama.
Dengan menyusun permintaan yang tampaknya menargetkan titik akhir bebas autentikasi dalam bentuk mentahnya namun memutuskan untuk melindungi rute internal setelah normalisasi, penyerang dapat melewati autentikasi dan menjangkau layanan backend yang seharusnya tidak dapat diakses publik.
Begitu masuk, penyerang dapat menargetkan titik akhir pembaruan paket dengan CVE-2026-34910, meneruskan masukan pengguna yang tidak divalidasi ke dalam perintah shell untuk menjalankan perintah sewenang-wenang pada sistem.
Perintah yang disuntikkan dijalankan di bawah akun layanan yang sangat istimewa dengan akses sudo tanpa kata sandi ke beberapa biner sistem, sehingga eskalasi ke root menjadi sepele.
Meskipun para peneliti memvalidasi rantai RCE, mereka tidak membagikan rincian lengkap atau bukti konsep (PoC) yang berfungsi.
Alat deteksi tersedia
Uskup Fox telah merilis a skrip deteksi gratis untuk membantu para pembela HAM mengetahui apakah lembaga mereka rentan terhadap rantai RCE yang tidak diautentikasi.
Hal ini dilakukan dengan mengirimkan permintaan yang dibuat khusus secara aman yang mencapai jalur kode yang rentan tanpa menjalankan perintah berbahaya apa pun, dan kemudian mengklasifikasikan target sebagai “rentan”, “ditambal”, “tidak terpengaruh”, atau “tidak meyakinkan”.
Namun, penting untuk dicatat bahwa skrip tidak mendeteksi serangan aktif, baik eksploitasi pernah terjadi di masa lalu, atau jika terdapat mekanisme persistensi atau pintu belakang pada target.
Para peneliti mencatat bahwa mengidentifikasi eksploitasi sebelumnya mungkin sulit karena serangan tersebut tidak memerlukan otentikasi.
“Rantai mencapai akar (kami mengonfirmasinya) tanpa kredensial dan tanpa interaksi pengguna, sehingga tidak ada jejak login yang gagal yang harus dicari,” Uskup Fox memperingatkan.
Selain alat ini, pembela HAM juga dapat mencari permintaan yang mengandung ‘/api/auth/validate-sso/’ dan memantau permintaan ke ‘ucs/update/latest_package,’ proses anak yang mencurigakan di bawah ‘ucs-update,’ dan perintah sudo yang tidak terduga.
Bishop Fox mengonfirmasi bahwa rantai serangan tidak berfungsi pada UniFi OS Server 5.0.8, jadi pengguna harus meningkatkan ke rilis ini atau lebih baru.
Namun, organisasi harus mengonfirmasi bahwa pembaruan diinstal pada sistem yang belum disusupi.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
