Американское агентство CISA добавило сразу четыре уже эксплуатируемые уязвимости в свой каталог Known Exploited Vulnerabilities, и три из них затрагивают уязвимости UniFi OS. Для федеральных ведомств США это не бюрократическая формальность: по директиве BOD 26-04 на установку обновлений или компенсирующих мер им дали всего три дня. Для русскоязычных ИТ-команд сигнал тоже понятный: если в инфраструктуре есть Ubiquiti или Lantronix, окно на спокойный патчинг уже закрылось.
Как пишет BleepingComputer, речь идет о трех дефектах в Ubiquiti UniFi OS и одной критической уязвимости в сервере последовательного доступа Lantronix EDS5000. В случае Ubiquiti в каталог CISA попали CVE-2026-34908, CVE-2026-34909 и CVE-2026-34910. Первая позволяет обойти контроль доступа и вносить несанкционированные изменения в систему без аутентификации. Вторая открывает путь к чтению чувствительных файлов базовой ОС, включая конфиги и учетные данные. Третья связана с некорректной проверкой входных данных и позволяет внедрять и выполнять произвольные команды ОС. В сумме это уже не просто неприятный набор багов, а готовый конструктор для полного захвата устройства.
Важно, что исправления для этих уязвимостей UniFi OS Ubiquiti выпустила еще в мае и тогда же предупредила: эксплуатация возможна удаленно и без привилегий. Позже исследователи Bishop Fox показали, что три ошибки можно объединить в одну цепочку и получить полный удаленный запуск кода с повышенными привилегиями на уязвимых устройствах UniFi OS. Для защитников это, с одной стороны, плохая новость: если цепочку собрали исследователи, ее почти наверняка уже собрали и атакующие. С другой стороны, у админов есть хотя бы один практический бонус: Bishop Fox опубликовала бесплатный скрипт на GitHub для поиска уязвимых экземпляров в инфраструктуре.
Четвертая проблема касается не Wi-Fi-контроллеров и сетевых шлюзов, а более нишевого, но от этого не менее опасного железа: Lantronix EDS5000. Уязвимость CVE-2025-67038 получила критический уровень опасности и затрагивает модель EDS5000 с прошивкой 2.1.0.0R3. Это инъекция команд с выполнением от root в HTTP RPC-модуле. Причина выглядит до боли знакомо: имя пользователя при логировании неудачных попыток входа подставляется в shell-команду без должной очистки. Итог предсказуемый: атакующий может внедрить собственные команды и выполнить их на устройстве. Для таких продуктов, которые часто стоят в промышленной или околопромышленной среде и живут годами без внимания, это особенно неприятный сценарий.
Lantronix уже выпустила патч и рекомендует обновление до версии EDS5000 2.2.0.0R1. Но история тут не только про наличие апдейта. Главный вопрос всегда один и тот же: сколько таких коробок вообще учтено в инвентаризации, кто помнит их реальные версии прошивки и кто заметит, если устройство с последовательным доступом внезапно начнет выполнять чужие команды от root. В корпоративной практике именно такие «второстепенные» узлы часто переживают несколько волн миграций, смену подрядчиков и пару циклов бюджетной оптимизации, пока однажды не всплывают в отчете об инциденте.
CISA при этом не раскрывает технические детали наблюдавшейся эксплуатации и не сообщает, кто именно стоит за атаками. Флаг использования в программах-вымогателях для всех четырех записей пока отмечен как Unknown. Это не повод выдыхать. Обычно такая формулировка означает лишь то, что регулятор не готов публично связывать баги с конкретным классом кампаний, а не то, что злоумышленники ведут себя деликатно и никого не трогают. На практике для служб ИБ это самый неудобный режим: эксплойты уже в ходу, а подробностей ровно столько, чтобы нельзя было спрятаться за аргументом «сначала разберемся».
Для разработчиков и продуктовых команд в этой истории тоже есть вполне прикладной вывод. Цепочка из обхода аутентификации, traversal и command injection снова показывает, насколько опасно сочетание «непривилегированный удаленный доступ плюс слабая изоляция системных компонентов». По отдельности такие дефекты иногда выглядят как досадные инженерные промахи. Вместе они превращаются в прямую дорогу к RCE и компрометации всей системы. Для вендоров сетевого и edge-оборудования это очередное напоминание, что безопасная обработка входных данных, разграничение прав и минимизация доступа к системным компонентам должны проверяться не после релиза, а до него, желательно с расчетом на то, что атакующий будет мыслить цепочками, а не отдельными CVE.
Для бизнеса вывод еще прозаичнее. Если инфраструктура завязана на UniFi OS или на устройства класса EDS5000, задача на ближайшие дни не в том, чтобы прочитать еще пару аналитических заметок, а в том, чтобы проверить версии, установить обновления и прогнать поиск уязвимых инстансов. Эта история хорошо показывает тренд последних лет: атакующие все охотнее идут не только за «большими» корпоративными платформами, но и за сетевыми устройствами, контроллерами и сервисными узлами, которые долго считались чем-то вроде технического фона. И чем больше таких устройств управляют доступом, сегментацией и администрированием, тем дороже обходится привычка считать их просто железом. Подробности первоисточника доступны у BleepingComputer .
The post CISA предупредило об атаках через критические баги Ubiquiti appeared first on iTech News.