Компания Ubiquiti устранила две уязвимости в приложении UniFi Network, включая критическую ошибку, которая может позволить злоумышленникам захватить учетные записи пользователей.
Приложение UniFi Network (также известное как UniFi Controller) — это программное обеспечение для управления, которое помогает настраивать, отслеживать и оптимизировать сетевое оборудование Ubiquiti UniFi, такое как точки доступа, коммутаторы и шлюзы.
«Объединяет мощные интернет-шлюзы с масштабируемым WiFi и коммутацией. Предоставляет информационные панели трафика в реальном времени, визуальные карты топологии и советы по оптимизации», — заявляет производитель сетевого оборудования на своем сайте. «Предпочтительный способ развертывания UniFi Network — на шлюзе UniFi Cloud Gateway, а не на сервере, ноутбуке или другой среде с самостоятельным размещением».
Уязвимость безопасности, отслеживаемая как CVE-2026-22557, затрагивает версию приложения UniFi Network 10.1.85 и более ранние версии и устранена в версиях 10.1.89 или новее.
Успешная эксплуатация позволяет злоумышленникам без привилегий использовать уязвимость обхода пути (path traversal) для доступа к файлам на целевых устройствах и потенциального захвата учетных записей пользователей в атаках низкой сложности, не требующих взаимодействия с пользователем.
«Злоумышленник с доступом к сети может использовать уязвимость обхода пути, обнаруженную в приложении UniFi Network, для доступа к файлам в базовой системе, которые могут быть использованы для получения доступа к учетной записи», — говорится в рекомендации компании, опубликованной в среду.
Ubiquiti также устранила вторую уязвимость в приложении UniFi Network, которую могут использовать злоумышленники с низкими привилегиями для повышения своих прав.
«Уязвимость NoSQL Injection с аутентификацией, обнаруженная в приложении UniFi Network, может позволить злоумышленнику с аутентифицированным доступом к сети повысить свои привилегии», — пояснили в компании.
В последние годы продукты Ubiquiti становились мишенью как хакерских группировок, спонсируемых государствами, так и киберпреступников, которые захватывали их для создания ботнетов, предназначенных для сокрытия вредоносной активности.
Например, в феврале 2024 года ФБР ликвидировало ботнет из взломанных маршрутизаторов Ubiquiti Edge OS, который использовался Главным управлением разведки Генерального штаба России (ГРУ) для проксирования вредоносного трафика в атаках, направленных против США и их союзников.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
