Sicherheitsforscher von **Bishop Fox** haben eine kritische Exploit-Kette aufgedeckt, die **Ubiquiti UniFi OS** Server-Versionen 5.0.6 und früher betrifft. Diese Kette nutzt drei Schwachstellen – **CVE-2026-34908**, **CVE-2026-34909** und **CVE-2026-34910** –, um Angreifern unauthentifizierten Root-Zugriff zu gewähren.  Obwohl **Ubiquiti** diese Probleme im Mai behoben hat, hoben die Herstellerhinweise nicht das Potenzial hervor, sie zu einer vollständigen RCE zu verketten. Alle drei Schwachstellen erhielten die höchste Schweregradbewertung, was ihre potenzielle Auswirkung unterstreicht. ### Die Schwachstellenkette erklärt Der von **Bishop Fox** identifizierte Exploit-Pfad kombiniert die folgenden Schwachstellen: * **CVE-2026-34908**: Eine fehlerhafte Zugriffskontrolle, die unbefugte Systemänderungen ermöglicht. * **CVE-2026-34909**: Eine Path-Traversal-Schwachstelle, die Dateien im zugrunde liegenden Betriebssystem offenlegen kann. * **CVE-2026-34910**: Eine Command-Injection-Schwachstelle, die die Ausführung beliebiger Befehle auf betroffenen Geräten ermöglicht. **Bishop Fox** demonstrierte, wie **CVE-2026-34908** und **CVE-2026-34909** gemeinsam verwendet werden können, um die Authentifizierung zu umgehen. Diese Umgehung ermöglicht es Angreifern, einen internen, anfälligen Endpunkt zu erreichen, an dem **CVE-2026-34910** die Befehlseingabe ermöglicht. Auch wenn anfängliche Befehle möglicherweise nicht als Root ausgeführt werden, verfügt das kompromittierte Dienstkonto über `sudo`-Berechtigungen, was eine triviale Rechteausweitung auf Root ermöglicht. Entscheidend ist, dass dieser gesamte Prozess keine Anmeldeinformationen, keine Benutzerinteraktion und keinen vorherigen Zugriff auf das System erfordert. ### Mehr als nur Netzwerkmanagement **Bishop Fox** betont die schwerwiegenden Folgen der Kompromittierung eines **UniFi OS** Servers. Es handelt sich nicht nur um eine generische Linux-Box; sie dient als zentrale Management-Ebene für die gesamte Netzwerkinfrastruktur einer Organisation. Dazu gehören kritische Komponenten wie physische Zugangstüren, Überwachungskameras und die damit verbundenen Identitäten. Root-Zugriff zu erlangen, gewährt effektiv die administrative Kontrolle über alles, was die Konsole steuert. ### Grundursache und Exploit-Mechanismus Der Kern der Authentifizierungsumgehung liegt in einer Diskrepanz zwischen der Art und Weise, wie **UniFi OS** eingehende Anfragen validiert, und der Art und Weise, wie **Nginx** diese weiterleitet. Die Authentifizierungskomponente wertet die rohe Anfrage-URI aus, während **Nginx** eine normalisierte Version verarbeitet. Durch sorgfältig gestaltete Anfragen können Angreifer diese so gestalten, dass sie in ihrer Rohform einen von der Authentifizierung ausgenommenen Endpunkt ansprechen, aber nach der Normalisierung zu geschützten internen Routen aufgelöst werden und somit die Authentifizierung umgehen. Sobald sie sich im System befinden, zielen Angreifer mit **CVE-2026-34910** auf einen Paket-Update-Endpunkt ab. Dies ermöglicht es ihnen, nicht validierte Benutzereingaben in einen Shell-Befehl einzuschleusen, was zur Ausführung beliebiger Befehle führt. Das Dienstkonto, unter dem diese Befehle ausgeführt werden, verfügt über passwortlosen `sudo`-Zugriff auf mehrere System-Binaries, was eine unkomplizierte Eskalation zu Root gewährleistet. Obwohl die Forscher die RCE-Kette validiert haben, haben sie keine vollständigen technischen Details oder einen funktionierenden Proof-of-Concept (PoC) veröffentlicht, um eine weit verbreitete Ausnutzung zu verhindern. ### Erkennung und Abwehr Um Verteidiger zu unterstützen, hat **Bishop Fox** ein kostenloses Erkennungsskript veröffentlicht. Dieses Skript sendet sicher eine speziell gestaltete Anfrage, um festzustellen, ob eine **UniFi OS** Instanz anfällig ist, und klassifiziert sie als "anfällig", "gepatcht", "nicht betroffen" oder "nicht eindeutig". Es ist wichtig zu beachten, dass dieses Skript keine aktiven Angriffe, vergangene Ausnutzung oder das Vorhandensein von Persistenzmechanismen erkennt. Die Identifizierung früherer Ausnutzung kann aufgrund der unauthentifizierten Natur des Angriffs besonders schwierig sein. Wie **Bishop Fox** warnt: "Die Kette erreicht Root (wir haben es bestätigt) ohne Anmeldeinformationen und ohne Benutzerinteraktion, sodass es keine fehlgeschlagenen Anmeldeversuche gibt, nach denen man suchen könnte." Über das Erkennungstool hinaus sollten Verteidiger nach Anfragen suchen, die `/api/auth/validate-sso/` enthalten, und Anfragen an `ucs/update/latest_package` verfolgen. Darüber hinaus könnten ungewöhnliche Kindprozesse unter `ucs-update` und unerwartete `sudo`-Befehle auf eine Kompromittierung hindeuten. **Bishop Fox** bestätigte, dass die Angriffskette gegen **UniFi OS** Server 5.0.8 und neuere Versionen unwirksam ist. Organisationen wird dringend empfohlen, sofort auf Version 5.0.8 oder neuer zu aktualisieren. Es ist jedoch entscheidend, zuerst zu bestätigen, dass das System nicht bereits kompromittiert wurde, bevor das Update angewendet wird, da ein gepatchtes System immer noch eine versteckte Backdoor beherbergen könnte, wenn es vor dem Update ausgenutzt wurde.