Les chercheurs en sécurité de **Bishop Fox** ont dévoilé une chaîne d'exploit critique affectant les versions 5.0.6 et antérieures du serveur **Ubiquiti UniFi OS**. Cette chaîne exploite trois vulnérabilités — **CVE-2026-34908**, **CVE-2026-34909** et **CVE-2026-34910** — pour accorder aux attaquants un accès root non authentifié.  Bien que **Ubiquiti** ait corrigé ces problèmes en mai, les avis du fournisseur n'ont pas mis en évidence le potentiel de les enchaîner pour obtenir un RCE complet. Les trois failles ont reçu la note de sévérité maximale, soulignant leur impact potentiel. ### La chaîne de vulnérabilités expliquée Le chemin d'exploit identifié par **Bishop Fox** combine les vulnérabilités suivantes : * **CVE-2026-34908** : Une faille de contrôle d'accès inapproprié qui permet des modifications non autorisées du système. * **CVE-2026-34909** : Une vulnérabilité de traversée de répertoire (path traversal) qui peut exposer des fichiers sur le système d'exploitation sous-jacent. * **CVE-2026-34910** : Une faille d'injection de commande qui permet l'exécution de commandes arbitraires sur les appareils affectés. **Bishop Fox** a démontré comment **CVE-2026-34908** et **CVE-2026-34909** peuvent être utilisés conjointement pour contourner l'authentification. Ce contournement permet aux attaquants d'atteindre un point de terminaison interne vulnérable où **CVE-2026-34910** facilite l'injection de commandes. Même si les commandes initiales peuvent ne pas s'exécuter en tant que root, le compte de service compromis possède des privilèges `sudo`, rendant possible une escalade de privilèges triviale vers root. De manière cruciale, l'ensemble de ce processus ne nécessite aucun identifiant, aucune interaction utilisateur et aucun accès préalable au système. ### Au-delà de la gestion réseau **Bishop Fox** souligne les graves implications de la compromission d'un serveur **UniFi OS**. Il ne s'agit pas simplement d'une boîte Linux générique ; elle sert de plan de gestion central pour l'ensemble de l'infrastructure réseau d'une organisation. Cela inclut des composants critiques tels que les portes d'accès physique, les caméras de surveillance et les identités qui y sont liées. L'obtention d'un accès root accorde effectivement un contrôle administratif sur tout ce que la console régit. ### Cause profonde et mécanisme d'exploit Le cœur du contournement d'authentification réside dans une divergence entre la manière dont **UniFi OS** valide les requêtes entrantes et la manière dont **Nginx** les route. Le composant d'authentification évalue l'URI de la requête brute, tandis que **Nginx** traite une version normalisée. En créant soigneusement des requêtes, les attaquants peuvent les faire apparaître comme ciblant un point de terminaison exempt d'authentification sous leur forme brute, tout en résolvant vers des routes internes protégées après normalisation, contournant ainsi l'authentification. Une fois à l'intérieur, les attaquants ciblent un point de terminaison de mise à jour de package en utilisant **CVE-2026-34910**. Cela leur permet d'injecter des entrées utilisateur non validées dans une commande shell, conduisant à l'exécution de commandes arbitraires. Le compte de service sous lequel ces commandes s'exécutent dispose d'un accès `sudo` sans mot de passe à plusieurs binaires système, garantissant une escalade directe vers root. Bien que les chercheurs aient validé la chaîne RCE, ils n'ont pas publié de détails techniques complets ni de preuve de concept (PoC) fonctionnelle pour empêcher une exploitation généralisée. ### Détection et atténuation Pour aider les défenseurs, **Bishop Fox** a publié un script de détection gratuit. Ce script envoie en toute sécurité une requête spécialement conçue pour déterminer si une instance **UniFi OS** est vulnérable, la classifiant comme « vulnérable », « patchée », « non affectée » ou « non concluante ». Il est important de noter que ce script ne détecte pas les attaques actives, l'exploitation passée ou la présence de mécanismes de persistance. L'identification d'une exploitation antérieure peut être particulièrement difficile en raison de la nature non authentifiée de l'attaque. Comme **Bishop Fox** prévient : « La chaîne atteint root (nous l'avons confirmé) sans identifiants et sans interaction utilisateur, il n'y a donc pas de trace d'échec de connexion à rechercher. » Au-delà de l'outil de détection, les défenseurs doivent surveiller les requêtes contenant `/api/auth/validate-sso/` et suivre les requêtes vers `ucs/update/latest_package`. De plus, des processus enfants inhabituels sous `ucs-update` et des commandes `sudo` inattendues pourraient indiquer une compromission. **Bishop Fox** a confirmé que la chaîne d'attaque est inefficace contre les versions **UniFi OS** Server 5.0.8 et ultérieures. Il est fortement conseillé aux organisations de mettre à niveau vers la version 5.0.8 ou plus récente immédiatement. Cependant, il est crucial de confirmer d'abord que le système n'a pas déjà été compromis avant d'appliquer la mise à jour, car un système patché pourrait toujours abriter une backdoor cachée s'il a été exploité avant la mise à jour.