セキュリティ研究者である**Bishop Fox**は、**Ubiquiti UniFi OS**サーバーバージョン5.0.6以前に影響を与える重大なエクスプロイトチェーンを発表しました。このチェーンは、**CVE-2026-34908**、**CVE-2026-34909**、および**CVE-2026-34910**の3つの脆弱性を悪用し、攻撃者に認証なしのrootアクセスを付与します。  **Ubiquiti**は5月にこれらの問題を修正しましたが、ベンダーのアドバイザリでは、これらを組み合わせて完全なRCEを達成できる可能性については強調されていませんでした。3つの脆弱性すべてに最大の深刻度評価が与えられており、その潜在的な影響の大きさを裏付けています。 ### 脆弱性チェーンの説明 **Bishop Fox**が特定したエクスプロイトパスは、以下の脆弱性を組み合わせています。 * **CVE-2026-34908**: 権限のないシステム変更を許可する不適切なアクセス制御の欠陥。 * **CVE-2026-34909**: 基盤となるオペレーティングシステム上のファイルを公開できるパス・トラバーサル脆弱性。 * **CVE-2026-34910**: 影響を受けるデバイス上で任意のコマンドを実行できるコマンドインジェクションの欠陥。 **Bishop Fox**は、**CVE-2026-34908**と**CVE-2026-34909**を連携させることで認証をバイパスできることを実証しました。このバイパスにより、攻撃者は内部の脆弱なエンドポイントに到達でき、そこで**CVE-2026-34910**がコマンドインジェクションを可能にします。 初期コマンドはrootとして実行されない可能性がありますが、侵害されたサービスアカウントは`sudo`権限を持っているため、rootへの特権昇格は容易です。重要なのは、このプロセス全体に資格情報、ユーザー操作、事前のシステムアクセスが一切不要であることです。 ### ネットワーク管理を超えて **Bishop Fox**は、**UniFi OS**サーバーを侵害することの深刻な影響を強調しています。これは単なる汎用的なLinuxボックスではなく、組織のネットワークインフラストラクチャ全体の中心的な管理プレーンとして機能します。これには、物理アクセスドア、監視カメラ、およびそれらに紐付けられたIDなどの重要なコンポーネントが含まれます。rootアクセスを取得することは、コンソールが管理するすべてに対する管理権限を効果的に付与することになります。 ### 原因とエクスプロイトメカニズム 認証バイパスの核心は、**UniFi OS**が受信リクエストを検証する方法と、**Nginx**がそれらをルーティングする方法との間の不一致にあります。認証コンポーネントは生の要求URIを評価しますが、**Nginx**は正規化されたバージョンを処理します。慎重に作成されたリクエストにより、攻撃者は生の形式では認証免除のエンドポイントをターゲットにしているように見せかけることができますが、正規化後に保護された内部ルートに解決されるため、認証を回避できます。 内部に入ると、攻撃者は**CVE-2026-34910**を使用してパッケージ更新エンドポイントをターゲットにします。これにより、検証されていないユーザー入力をシェルコマンドに注入でき、任意のコマンドの実行につながります。これらのコマンドが実行されるサービスアカウントは、いくつかのシステムバイナリに対してパスワードなしの`sudo`アクセス権を持っており、rootへの簡単な昇格を保証します。 研究者はRCEチェーンを検証しましたが、広範な悪用を防ぐために、完全な技術的詳細や動作する概念実証（PoC）は公開していません。 ### 検知と緩和策 防御者を支援するために、**Bishop Fox**は無料の検知スクリプトをリリースしました。このスクリプトは、特別に作成されたリクエストを安全に送信して、**UniFi OS**インスタンスが脆弱であるかどうかを判断し、「脆弱」、「パッチ済み」、「影響なし」、「不明」に分類します。このスクリプトは、アクティブな攻撃、過去の悪用、または永続化メカニズムの存在を検出しないことに注意することが重要です。 攻撃の認証なしの性質により、過去の悪用の特定は特に困難になる可能性があります。**Bishop Fox**が警告するように、「チェーンはrootに到達します（確認済み）。資格情報やユーザー操作なしで到達するため、検索すべきログイン失敗の痕跡はありません。」 検知ツール以外にも、防御者は`/api/auth/validate-sso/`を含むリクエストを監視し、`ucs/update/latest_package`へのリクエストを追跡する必要があります。さらに、`ucs-update`下の異常な子プロセスや予期しない`sudo`コマンドは、侵害の兆候である可能性があります。 **Bishop Fox**は、この攻撃チェーンが**UniFi OS** Server 5.0.8以降のバージョンでは効果がないことを確認しました。組織は、直ちにバージョン5.0.8以降にアップグレードすることを強く推奨します。ただし、アップデートを適用する前に、システムが既に侵害されていないことを確認することが重要です。なぜなら、アップデート前に悪用されていた場合、パッチが適用されたシステムに隠されたバックドアが存在する可能性があるからです。