Investigadores de seguridad de **Bishop Fox** han revelado una cadena de exploits crítica que afecta a las versiones 5.0.6 y anteriores del servidor **Ubiquiti UniFi OS**. Esta cadena aprovecha tres vulnerabilidades —**CVE-2026-34908**, **CVE-2026-34909** y **CVE-2026-34910**— para otorgar a los atacantes acceso root sin autenticación.  Aunque **Ubiquiti** había abordado estos problemas en mayo, los avisos del proveedor no destacaron el potencial de encadenarlos en una RCE completa. Las tres fallas recibieron la calificación de severidad máxima, lo que subraya su impacto potencial. ### La Cadena de Vulnerabilidades Explicada La ruta de exploit identificada por **Bishop Fox** combina las siguientes vulnerabilidades: * **CVE-2026-34908**: Una falla de control de acceso inadecuado que permite cambios no autorizados en el sistema. * **CVE-2026-34909**: Una vulnerabilidad de traversal de ruta que puede exponer archivos en el sistema operativo subyacente. * **CVE-2026-34910**: Una falla de inyección de comandos que permite la ejecución de comandos arbitrarios en dispositivos afectados. **Bishop Fox** demostró cómo **CVE-2026-34908** y **CVE-2026-34909** pueden usarse en conjunto para eludir la autenticación. Esta elusión permite a los atacantes alcanzar un endpoint interno vulnerable donde **CVE-2026-34910** facilita la inyección de comandos. Incluso si los comandos iniciales no se ejecutan como root, la cuenta de servicio comprometida posee privilegios de `sudo`, lo que hace trivial la escalada de privilegios a root. Crucialmente, todo este proceso no requiere credenciales, interacción del usuario ni acceso previo al sistema. ### Más allá de la Gestión de Red **Bishop Fox** enfatiza las graves implicaciones de comprometer un servidor **UniFi OS**. No es simplemente una caja Linux genérica; sirve como el plano de gestión central para toda la infraestructura de red de una organización. Esto incluye componentes críticos como puertas de acceso físico, cámaras de vigilancia y las identidades asociadas a ellos. Obtener acceso root efectivamente otorga control administrativo sobre todo lo que la consola rige. ### Causa Raíz y Mecanismo de Exploit El núcleo de la elusión de autenticación reside en una discrepancia entre cómo **UniFi OS** valida las solicitudes entrantes y cómo **Nginx** las enruta. El componente de autenticación evalúa el URI de solicitud sin procesar, mientras que **Nginx** procesa una versión normalizada. Al elaborar cuidadosamente las solicitudes, los atacantes pueden hacer que parezcan dirigirse a un endpoint exento de autenticación en su forma cruda, pero que se resuelven a rutas internas protegidas después de la normalización, eludiendo así la autenticación. Una vez dentro, los atacantes apuntan a un endpoint de actualización de paquetes utilizando **CVE-2026-34910**. Esto les permite inyectar entrada de usuario no validada en un comando de shell, lo que lleva a la ejecución de comandos arbitrarios. La cuenta de servicio bajo la cual se ejecutan estos comandos tiene acceso `sudo` sin contraseña a varios binarios del sistema, lo que garantiza una escalada directa a root. Aunque los investigadores validaron la cadena RCE, no han publicado detalles técnicos completos ni una prueba de concepto (PoC) funcional para prevenir la explotación generalizada. ### Detección y Mitigación Para ayudar a los defensores, **Bishop Fox** ha lanzado un script de detección gratuito. Este script envía de forma segura una solicitud especialmente elaborada para determinar si una instancia de **UniFi OS** es vulnerable, clasificándola como "vulnerable", "parcheada", "no afectada" o "inconclusa". Es importante tener en cuenta que este script no detecta ataques activos, explotación pasada ni la presencia de mecanismos de persistencia. Identificar la explotación previa puede ser particularmente desafiante debido a la naturaleza no autenticada del ataque. Como advierte **Bishop Fox**: "La cadena llega a root (lo confirmamos) sin credenciales y sin interacción del usuario, por lo que no hay rastro de inicio de sesión fallido que buscar". Más allá de la herramienta de detección, los defensores deben monitorear las solicitudes que contienen `/api/auth/validate-sso/` y rastrear las solicitudes a `ucs/update/latest_package`. Además, procesos hijos inusuales bajo `ucs-update` y comandos `sudo` inesperados podrían indicar un compromiso. **Bishop Fox** confirmó que la cadena de ataque es ineficaz contra **UniFi OS** Server 5.0.8 y versiones posteriores. Se recomienda encarecidamente a las organizaciones que actualicen a la versión 5.0.8 o más reciente de inmediato. Sin embargo, es crucial confirmar primero que el sistema no ha sido comprometido antes de aplicar la actualización, ya que un sistema parcheado aún podría albergar una puerta trasera oculta si fue explotado antes de la actualización.