Pesquisadores de segurança da **Bishop Fox** revelaram uma cadeia de exploração crítica afetando versões 5.0.6 e anteriores do servidor **Ubiquiti UniFi OS**. Essa cadeia utiliza três vulnerabilidades — **CVE-2026-34908**, **CVE-2026-34909** e **CVE-2026-34910** — para conceder aos atacantes acesso root não autenticado.  Embora a **Ubiquiti** tenha abordado essas questões em maio, os avisos do fornecedor não destacaram o potencial de encadeá-las em uma RCE completa. Todas as três falhas receberam a classificação máxima de severidade, ressaltando seu impacto potencial. ### A Cadeia de Vulnerabilidades Explicada O caminho de exploração identificado pela **Bishop Fox** combina as seguintes vulnerabilidades: * **CVE-2026-34908**: Uma falha de controle de acesso inadequado que permite alterações não autorizadas no sistema. * **CVE-2026-34909**: Uma vulnerabilidade de path traversal que pode expor arquivos no sistema operacional subjacente. * **CVE-2026-34910**: Uma falha de injeção de comando que permite a execução de comandos arbitrários em dispositivos afetados. A **Bishop Fox** demonstrou como **CVE-2026-34908** e **CVE-2026-34909** podem ser usadas em conjunto para contornar a autenticação. Esse contorno permite que atacantes alcancem um endpoint interno vulnerável onde **CVE-2026-34910** facilita a injeção de comandos. Mesmo que os comandos iniciais possam não ser executados como root, a conta de serviço comprometida possui privilégios `sudo`, tornando a escalada de privilégios para root trivial. Crucialmente, todo esse processo não requer credenciais, interação do usuário ou acesso prévio ao sistema. ### Além do Gerenciamento de Rede A **Bishop Fox** enfatiza as graves implicações de comprometer um servidor **UniFi OS**. Não se trata apenas de uma caixa Linux genérica; ela serve como o plano de gerenciamento central para toda a infraestrutura de rede de uma organização. Isso inclui componentes críticos como portas de acesso físico, câmeras de vigilância e as identidades a elas associadas. Ganhar acesso root efetivamente concede controle administrativo sobre tudo o que o console gerencia. ### Causa Raiz e Mecanismo de Exploração O cerne do contorno de autenticação reside em uma discrepância entre como o **UniFi OS** valida requisições recebidas e como o **Nginx** as roteia. O componente de autenticação avalia a URI da requisição bruta, enquanto o **Nginx** processa uma versão normalizada. Ao criar requisições cuidadosamente, os atacantes podem fazê-las parecer direcionadas a um endpoint isento de autenticação em sua forma bruta, mas que, após a normalização, resolvem para rotas internas protegidas, contornando assim a autenticação. Uma vez dentro, os atacantes visam um endpoint de atualização de pacotes usando **CVE-2026-34910**. Isso permite que eles injetem entrada de usuário não validada em um comando de shell, levando à execução de comandos arbitrários. A conta de serviço sob a qual esses comandos são executados possui acesso `sudo` sem senha a vários binários do sistema, garantindo uma escalada direta para root. Embora os pesquisadores tenham validado a cadeia de RCE, eles não divulgaram detalhes técnicos completos ou um proof-of-concept (PoC) funcional para evitar exploração generalizada. ### Detecção e Mitigação Para auxiliar os defensores, a **Bishop Fox** lançou um script de detecção gratuito. Este script envia com segurança uma requisição especialmente elaborada para determinar se uma instância **UniFi OS** é vulnerável, classificando-a como “vulnerável”, “corrigida”, “não afetada” ou “inconclusiva”. É importante notar que este script não detecta ataques ativos, exploração passada ou a presença de mecanismos de persistência. Identificar explorações anteriores pode ser particularmente desafiador devido à natureza não autenticada do ataque. Como a **Bishop Fox** adverte: “A cadeia alcança root (nós confirmamos) sem credenciais e sem interação do usuário, portanto, não há rastro de login falho para procurar”. Além da ferramenta de detecção, os defensores devem monitorar requisições contendo `/api/auth/validate-sso/` e rastrear requisições para `ucs/update/latest_package`. Adicionalmente, processos filhos incomuns sob `ucs-update` e comandos `sudo` inesperados podem indicar comprometimento. A **Bishop Fox** confirmou que a cadeia de ataque é ineficaz contra o **UniFi OS** Server 5.0.8 e versões posteriores. As organizações são fortemente aconselhadas a atualizar para a versão 5.0.8 ou mais recente imediatamente. No entanto, é crucial confirmar primeiro que o sistema ainda não foi comprometido antes de aplicar a atualização, pois um sistema corrigido ainda pode abrigar um backdoor oculto se explorado antes da atualização.