Des chercheurs en sécurité ont mis au jour une faille majeure dans le système d'exploitation UniFi OS d'Ubiquiti, permettant à un attaquant distant non authentifié d'exécuter du code arbitraire avec les droits root.

Le 21 mai 2026, Ubiquiti a corrigé trois vulnérabilités, identifiées sous les références CVE-2026-34908, CVE-2026-34909 et CVE-2026-34910, au sein de son système de gestion réseau UniFi OS. Si chaque faille prise individuellement présente un risque, c'est leur combinaison, révélée par la société de recherche Bishop Fox, qui constitue la menace la plus grave.

Comment une simple requête Web mène à une prise de contrôle totale

L'enchaînement des attaques exploite une divergence de comportement entre deux composants du système UniFi OS. D'un côté, le module d'authentification analyse l'adresse de la requête entrante dans sa forme brute (URI brute). De l'autre, le serveur web Nginx traite la même requête après l'avoir nettoyée et standardisée (URI normalisée).

Un attaquant peut tirer parti de cette incohérence en falsifiant une requête HTTP. Pour le module de contrôle d'accès, la demande semble viser une ressource accessible publiquement, ne nécessitant donc pas d'authentification. Mais une fois que Nginx a normalisé la requête, celle-ci est redirigée en interne vers une fonctionnalité protégée, dont l'accès est ainsi obtenu sans passer par la phase d'authentification.

Cette première étape repose sur les failles CVE-2026-34908 et CVE-2026-34909, qui permettent de contourner l'authentification. La seconde étape exploite la vulnérabilité CVE-2026-34910, qui permet une injection de commandes. Les commandes exécutées via cette faille ne disposent toutefois pas directement des privilèges root. Cependant, les chercheurs de Bishop Fox ont observé que le service affecté bénéficie de la possibilité de lancer des commandes via sudo sans mot de passe. Cette configuration permet à l'attaquant d'élever ses privilèges et d'obtenir un accès root complet au serveur.

Quels sont les risques pour les organisations concernées ?

Bishop Fox qualifie la menace de sérieuse, rappelant qu'un serveur UniFi OS ne se limite pas à une simple machine Linux : il constitue le point de gestion central du réseau d'une organisation. "Un serveur UniFi OS n'est pas une simple machine Linux générique ; c'est le plan de gestion du réseau d'une organisation, y compris, là où ces appareils sont déployés, de ses portes d'accès physique, de ses caméras de surveillance et des identités qui y sont liées", ont mis en garde les chercheurs. Une compromission au niveau root expose donc potentiellement l'ensemble de l'infrastructure réseau, les contrôles d'accès physiques, les systèmes de vidéosurveillance et les identités numériques qui y sont associées.

Comment savoir si son instance est vulnérable et comment se protéger

Ubiquiti a déployé un correctif dans la version UniFi OS Server 5.0.8. Les versions 5.0.6 et antérieures sont considérées comme vulnérables. Les administrateurs sont invités à mettre à jour leur installation vers cette version au minimum pour se prémunir des attaques.

Pour faciliter la détection des instances vulnérables, Bishop Fox a publié un script de détection. Ce dernier envoie une requête spécifique au serveur cible pour tester si le chemin d'exploitation des trois vulnérabilités est accessible. Le script classe ensuite le résultat en quatre catégories : vulnérable, corrigée, non affectée ou non concluante. Les administrateurs peuvent ainsi identifier rapidement les serveurs nécessitant une mise à jour.

Signes possibles d'une exploitation

Bien que le script de détection ne permette pas de confirmer une compromission passée, Bishop Fox recommande aux administrateurs de rechercher des indicateurs spécifiques dans leurs journaux. Les traces à surveiller incluent des requêtes contenant la chaîne /api/auth/validate-sso/, des requêtes adressées à ucs/update/latest_package, la présence de processus enfants suspects s'exécutant sous le service ucs-update, ou encore l'utilisation de commandes sudo inhabituelles.