Grâce à une chaine d’exploitation basée sur 3 failles de sécurité critiques, les attaquants peuvent exécuter du code à distance en tant que root sur les serveurs Ubiquiti UniFi OS vulnérables. Une alerte de sécurité qui doit vous inciter à mettre à niveau votre instance à minima vers UniFi OS Server 5.0.8.
Le 21 mai 2026, Ubiquiti a patché trois failles de sécurité dans le système UniFi OS : CVE-2026-34908, CVE-2026-34909, et CVE-2026-34910.
Au-delà des risques liés à chacune de ces vulnérabilités prises individuellement, un rapport publié par les chercheurs de Bishop Fox révèle un autre risque plus inquiétant. En effet, il est possible de chaîner l’exploitation de ces trois vulnérabilités et ainsi d’exécuter du code à distance sur l’instance UniFi OS Server, en tant que root, sans authentification préalable.
Une requête Web mène aux privilèges root
Cette chaîne d’exploitation prend ses racines dans une divergence d’interprétation technique entre deux composants clés du système d’Ubiquiti. D’un côté, le module chargé de valider l’authentification au sein d’UniFi OS analyse l’adresse web de la requête sous sa forme brute (URI brute). De l’autre, le serveur Nginx oriente et redirige cette même requête en se basant sur une version nettoyée et standardisée (URI normalisée).
En exploitant ce manque de cohérence, un attaquant peut manipuler et falsifier une requête HTTP. Pour le système de contrôle d’UniFi OS, la demande semble viser une page ou un service accessible publiquement sans connexion. Cependant, une fois que Nginx traite et normalise cette requête, elle est redirigée en interne vers une fonctionnalité protégée.
Puisque l’attaquant est parvenu à contourner l’étape d’authentification via cette manipulation au niveau de la requête, il peut librement accéder à une section normalement protégée.
Cette première partie de la chaine d’exploitation s’appuie sur les failles CVE-2026-34908 et CVE-2026-34909 pour contourner l’authentification. La troisième faille, à savoir la CVE-2026-34910, est exploitée dans un second temps et elle permet l’injection de commandes.
Il est important de préciser que les commandes exécutées initialement via la CVE-2026-34910 n’ont pas les privilèges root. Toutefois, les chercheurs de Bishop Fox expliquent que le service affecté a les permissions pour lancer des commandes via sudo et sans mot de passe.
Ainsi, il est facile d’obtenir les permissions root sur l’instance UniFi OS en s’appuyant sur cette opportunité d’utiliser sudo.
“Un serveur UniFi OS n’est pas une simple machine Linux générique ; c’est le plan de gestion du réseau d’une organisation, y compris, là où ces appareils sont déployés, de ses portes d’accès physique, de ses caméras de surveillance et des identités qui y sont liées.”, explique Bishop Fox.
Votre instance UniFi OS est-elle vulnérable ?
Au-delà de son rapport technique, Bishop Fox a publié un script de détection destiné aux administrateurs de serveurs UniFi OS. Cet outil est conçu pour envoyer une requête spécifique vers votre instance afin de tester le chemin permettant l’exploitation de ces trois vulnérabilités.
Il classifie ensuite la cible selon quatre états : vulnérable, corrigée, non affectée ou non concluante. Pour vous protéger, vous devez exécuter à minima UniFi OS Server 5.0.8. Les versions 5.0.6 et antérieures sont vulnérables à ces vulnérabilités.
L’outil proposé par Bishop Fox ne permet pas de détecter une attaque passée ou la compromission de votre instance. Il teste uniquement l’instance en live.
Pour repérer d’éventuels signes d’exploitation, vous pouvez analyser votre environnement à la recherche :
De requêtes contenant la chaîne /api/auth/validate-sso/
De requêtes adressées à ucs/update/latest_package
De processus enfants suspects s’exécutant sous ucs-update
De commandes sudo suspectes exécutées sur le serveur.
Au-delà de la mise à jour, il peut s’avérer judicieux de vérifier si le mal n’est pas déjà fait. Cela peut éviter de patcher un serveur qui est déjà compromis.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.