三个10.0,一条完整的攻击链
6月23日,美国网络安全和基础设施安全局(CISA)将三个Ubiquiti UniFi OS漏洞加入已知被利用漏洞(KEV)目录,并根据BOD 26-04指令设定三日强制修复截止日期——6月26日。
这三个漏洞分别是:
| CVE编号 | 漏洞类型 | CWE分类 | CVSS评分 |
|---|---|---|---|
| CVE-2026-34908 | 不当访问控制 | CWE-284 | 10.0 |
| CVE-2026-34909 | 路径遍历 | CWE-22 | 10.0 |
| CVE-2026-34910 | 命令注入 | CWE-78 | 10.0 |
三个漏洞的CVSS向量均为 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H——网络可达、低复杂度、无需认证、无需用户交互。
攻击链如何工作
单个漏洞已经足够危险,三个组合起来则形成了一条完整的远程接管链:
- CVE-2026-34908(访问控制绕过):攻击者通过网络访问UniFi OS管理界面,绕过前端认证机制,获得未授权的系统修改权限
- CVE-2026-34909(路径遍历):利用路径遍历读取底层系统文件,包括配置信息、认证令牌、账户数据
- CVE-2026-34910(命令注入):通过不当输入验证执行任意系统命令,获取root权限
整个攻击过程无需任何凭证,无需用户交互,一个HTTP请求即可从外部网络直达root shell。
影响范围:不只是网络设备
UniFi OS是Ubiquiti全线网络产品的统一管理平台,覆盖:
- 网络设备:Cloud Gateway、Dream Machine系列、Express系列
- 视频监控系统:UNVR、UNVR-Pro、ENVR系列
- 接入控制:Cloud Key、UCG系列
- 存储设备:UNAS系列
受影响的固件版本为UniFi OS 5.0.6及更早版本。修复版本为5.0.8。
更关键的是,UniFi OS通常作为企业IT环境的控制平面运行。一台被接管的UniFi控制台可能暴露:存储的密钥和证书、管理令牌、WiFi和VPN配置、TLS私钥、用户数据库、设备管理凭证。如果连接了UniFi Protect或UniFi Access,风险还会扩展到监控摄像头和门禁系统。
荷兰NCSC同步确认在野利用
CISA的KEV列入意味着已有证据表明这些漏洞正在被积极利用。荷兰国家网络安全中心(NCSC)也同步确认了在野利用情况。截至修复截止日,CISA KEV目录中仍有15个已逾期条目未修复。
修复建议
- 立即升级UniFi OS至5.0.8或更高版本
- 无法立即更新的设备,将管理界面(TCP 11443端口)限制为仅受信管理网络可达
- 已暴露于不可信网络的设备,即使打补丁后也应进行:日志审查、凭证轮换、会话强制失效
- 怀疑已被入侵的设备,建议从可信镜像重建
统一管理平台的安全代价
这起事件揭示了网络管理领域一个越来越突出的矛盾:统一管理平台将路由、交换、监控、身份认证、存储、门禁等服务集中到单一控制台,降低了管理复杂度,但也放大了控制平面被攻破后的影响范围。一个满分漏洞,可能意味着整个网络基础设施的沦陷。
对于企业安全团队而言,管理平台的安全性应该被视为与生产系统同等重要,甚至更为关键。