Уязвимости в ОС Ubiquiti UniFi затрагивают разработки, связанные с корпоративным интернетом вещей. Большинство не требует больших усилий для успешной эксплуатации.
09 Июля 2026 09:16 09 Июл 2026 09:16 |
Уязвимости в ОС Ubiquiti UniFi затрагивают разработки, связанные с корпоративным интернетом вещей. Большинство не требует больших усилий для успешной эксплуатации.
Компания Ubiquiti выпустила обновления для критических уязвимостей в своих продуктах. Один из этих «багов», CVE-2026-50746, получил максимальную оценку по шкале угроз CVSS - 10 баллов.
Проблема затрагивает операционную систему UniFi OS, которая предназначена для управления сетевой инфраструктурой.
«Злоумышленник, имеющий доступ к сети, может использовать уязвимость, связанную с некорректным контролем доступа (Improper Access Control), обнаруженную в приложении UniFi Connect, для осуществления инъекции команд на хост-устройстве», - говорится в бюллетене UniFi.
Уязвимости в ОС Ubiquiti UniFi затрагивают разработки, связанные с корпоративным интернетом вещей
Единственный способ устранить уязвимость - обновиться до версии UniFi Connect Application до версии 3.4.20 или новее.
Проблема гарантированно затрагивает все версии UniFi Connect Application до версии 3.4.16.
Это ПО предназначено для автоматизации и управления встраиваемыми системами корпоративного уровня (Enterprise of Things), которые могут включать интеллектуальные системы освещения, средства зарядки электромобилей и т.п. UniFi Connect Application, в частности, обеспечивает единый интерфейс для всех систем, входящих в единую инфраструктуру.
Компрометация этого интерфейса обеспечивает хакерам весьма серьёзный диапазон возможностей по нанесению ущерба.
Помимо того, компания Ubiquiti устранила ещё шесть критических уязвимостей безопасности, затрагивающих разные её продукты: это CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115 и CVE-2026-55116.
Среди приложений, потребовавших патчей, - UniFi Talk, UniFi Access и UniFi Protect. Также устранены уязвимости в UniFi OS Server и во множестве различных маршрутизаторов, шлюзов, сетевыфх накопителей данных и систем видеонаблюдения Ubiquiti.
Информации о том, подвергались ли эти уязвимости практической эксплуатации, компания не предоставила. Однако в бюллетенях Uniquiti говорится, что большинство уязвимостей можно эксплуатировать с минимальными усилиями и без ведома конечного пользователя или администратора.
Как пишет издание BleepingComputer, эксперты фирмы Censys насчитали более 100 тысяч экземпляров UniFi OS, установленных на устройства, доступные из интернета. Около 50 тысяч IP-адресов относятся к США. В России и сопредельных государствах, а также в Азии и Африке ни одного хоста не выявлено, хотя это не обязательно означает, что их нет. В РФ продолжает функционировать как минимум один официальный дилер Unbiquiti.
Bleeping Computer отмечает, что уже неоднократно наблюдались ситуации, когда киберкриминал активно эксплуатировал уязвимости в продуктах Ubiquiti. В прошлом компанию также обвиняли в том, что она не полностью раскрывала масштабы утечек данных в результате атак на её продукты.
«В данном случае остаётся открытым вопрос, имели ли место атаки на устранённые уязвимости или выпуск этих патчей - штатная генеральная уборка, - считает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - Что можно гарантировать, так это массовые попытки эксплуатации перечисленных уязвимостей в ближайшее время: между выходом патчей и их установкой на конечные устройства проходит некоторое время. Соображения безопасности требуют сократить этот промежуток до минимума».
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Найдены максимальные уязвимости в знаменитой ОС для управления сетями | -2 | 7 | 09-07-2026 |
| 2 | В чипсетах Intel обнаружили неустранимую уязвимость | 0 | 0 | 05-03-2020 |
| 3 | Число EoP-уязвимости выросло почти в два раза | 0 | 7 | 23-06-2026 |
| 4 | UserGate uFactor: в одном из решений Adobe обнаружена уязвимость с максимальной оценкой опасности | -2 | 8 | 09-07-2026 |
| 5 | В ИИ-приложениях почти каждая третья уязвимость является высокорисковой | 0 | 7 | 03-07-2026 |
| 6 | AppSec Solutions нашла 1,3 тыс. уязвимостей в приложениях для бронирования | 0 | 0 | 18-04-2025 |
| 7 | Фонд СПО предупредил о критической уязвимости в хостинге свободного кода GNU Savannah | 0 | 8 | 20-06-2026 |
| 8 | Бэкдор в прошивках Tenda, позволяющий получить доступ с правами администратора | -2 | 8 | 07-07-2026 |
| 9 | Эксперимент с фиктивной компанией выявил уязвимости рейтингов работодателей | 0 | 7 | 26-06-2026 |
| 10 | Seven iPhone models compromised by major security breach... is yours on the list? | -3 | 7 | 20-06-2026 |