Ubiquiti telah merilis pembaruan keamanan untuk menambal tiga kerentanan tingkat keparahan maksimum di UniFi OS yang dapat dieksploitasi oleh penyerang jarak jauh tanpa hak istimewa.
UniFi OS adalah sistem operasi terpadu yang mendukung Konsol UniFi dan membantu mengelola infrastruktur TI, termasuk jaringan, keamanan, dan layanan lainnya, serta aplikasi UniFi seperti UniFi Network, UniFi Protect, UniFi Access, UniFi Talk, dan UniFi Connect.
Kelemahan pertama (CVE-2026-34908) memungkinkan penyerang membuat perubahan tidak sah pada sistem yang ditargetkan dengan mengeksploitasi kelemahan Kontrol Akses yang Tidak Tepat di UniFi OS, sedangkan yang kedua (CVE-2026-34909) memungkinkan mereka mengakses file di sistem yang mendasarinya dengan menyalahgunakan kerentanan Path Traversal, yang dapat dimanipulasi untuk mengakses akun yang mendasarinya.
Masalah keamanan tingkat keparahan maksimum ketiga (CVE-2026-34910) memungkinkan pelaku kejahatan meluncurkan serangan injeksi perintah setelah mendapatkan akses jaringan dengan mengeksploitasi kerentanan Validasi Input yang Tidak Tepat.
Pada hari Kamis, Ubiquiti juga menambal kelemahan injeksi perintah kritis kedua (CVE-2026-33000) dan keterbukaan informasi dengan tingkat keparahan tinggi (CVE-2026-34911), keduanya memengaruhi perangkat Unifi OS.
Ubiquiti belum mengungkapkan apakah salah satu dari lima kerentanan tersebut dieksploitasi secara liar sebelum diungkapkan, namun menyampaikan bahwa kerentanan tersebut dapat dieksploitasi dalam serangan dengan kompleksitas rendah dan dilaporkan melalui program bug bounty HackerOne.
Saat ini, perusahaan intelijen ancaman Censys adalah melacak hampir 100.000 titik akhir UniFi OS yang terekspos Internetsebagian besar (hampir 50.000 alamat IP) ditemukan di Amerika Serikat.
Namun, saat ini belum ada informasi berapa banyak yang telah diamankan dari potensi serangan yang menargetkan kerentanan yang ditambal Ubiquiti minggu ini.
Pada bulan Maret, Ubiquiti menambal kelemahan dengan tingkat keparahan maksimum lainnya (CVE-2026-22557) di Aplikasi Jaringan UniFi yang memungkinkan penyerang mengambil alih akun pengguna, serta kerentanannya (CVE-2026-22558) yang dapat dieksploitasi untuk meningkatkan hak istimewa.
Produk Ubiquiti telah menjadi sasaran kelompok peretas yang didukung negara dan penjahat dunia maya dalam beberapa tahun terakhir, dalam kampanye yang membajak mereka untuk membangun botnet yang menyembunyikan aktivitas jahat pelaku ancaman.
Misalnya, pada bulan Februari 2024, FBI menjatuhkan Moobotbotnet router Ubiquiti Edge OS yang diretas dan digunakan oleh Direktorat Intelijen Utama Staf Umum (GRU) Rusia untuk mem-proxy lalu lintas berbahaya dalam serangan spionase dunia maya yang menargetkan Amerika Serikat dan sekutunya.
Empat tahun lalu, pada bulan April 2022, Badan Keamanan Siber dan Infrastruktur AS (CISA) juga menambahkan kelemahan injeksi perintah yang kritis (CVE-2010-5330) di Ubiquiti AirOS ke katalog kerentanan yang dieksploitasi secara aktif dan memerintahkan badan-badan federal untuk mengamankan perangkat mereka dalam waktu tiga minggu.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
