Įsivaizduokite: jūsų biuro tinklo valdiklis, tas mažas įrenginys serverinėje, turi spragą, pro kurią bet kas iš interneto gali ne tik pakeisti nustatymus, bet ir paleisti komandas — be jokio slaptažodžio. Būtent tokias spragas „Ubiquiti“ ką tik užlopė savo „UniFi OS“ operacinėje sistemoje, ir tai turėtų sunerimti kiekvieną tinklo administratorių.

„Ubiquiti“ paskelbė pataisas trims maksimalaus pavojingumo pažeidžiamumams, kuriuos atakuotojai gali išnaudoti nuotoliniu būdu, neturėdami jokių privilegijų. Pirmoji spraga (CVE-2026-34908) leidžia neteisėtai keisti sistemos nustatymus dėl netinkamos prieigos kontrolės. Antroji (CVE-2026-34909) atveria kelią prie sistemos failų per kelio perėjimo ataką, potencialiai leidžiančią pasiekti ir kitas paskyras. Trečioji (CVE-2026-34910) suteikia galimybę vykdyti komandas sistemoje.

Beveik 100 000 atvirų taikinių

Grėsmių žvalgybos bendrovė „Censys“ šiuo metu stebi beveik 100 000 internetu pasiekiamų „UniFi OS“ įrenginių, iš kurių beveik pusė — apie 50 000 IP adresų — yra Jungtinėse Valstijose. Kiek iš jų jau atnaujinti, kol kas nežinoma.

// reklamaČia gali būti jūsų reklamaSusisiekite →

Tai ne pirmas kartas, kai „Ubiquiti“ įranga tampa taikiniu. Kovo mėnesį bendrovė taisė dar vieną maksimalaus sunkumo spragą (CVE-2026-22557) „UniFi Network Application“ programoje, leidžiančią perimti vartotojų paskyras. O žvelgiant dar giliau — 2024-ųjų vasarį FTB likvidavo „Moobot“ botnetą, sudarytą iš įsilaužtų „Ubiquiti Edge OS“ maršrutizatorių, kuriuos Rusijos karinė žvalgyba naudojo kibernetiniam šnipinėjimui prieš JAV ir jų sąjungininkes.

Ne tik trys spragos

Kartu su trimis maksimalaus pavojingumo pažeidžiamumais „Ubiquiti“ pataisė dar dvi: kritinę komandų injekcijos spragą (CVE-2026-33000) ir aukšto pavojingumo informacijos atskleidimo spragą (CVE-2026-34911). Visos penkios buvo praneštos per „HackerOne“ klaidų medžioklės programą ir gali būti išnaudotos mažo sudėtingumo atakomis.

„Ubiquiti“ kol kas nepatvirtino, ar kuri nors iš spragų buvo išnaudota prieš pataisų išleidimą. Tačiau istorija rodo, kad tokio tipo įranga yra mėgstamas tiek valstybinių programišių, tiek kibernetinių nusikaltėlių taikinys. O 100 000 atvirų įrenginių — per daug, kad būtų galima laukti.

Šaltiniai

  1. Ubiquiti patches three max severity UniFi OS vulnerabilitiesBleepingcomputer · 2026
  2. Censys — Internet Intelligence PlatformCensys · 2026
  3. Ubiquiti Security AdvisoriesCommunity · 2026