Ubiquiti UniFi OS RCE CVE-2026-34910 Zero-day 5 min lectura

Ubiquiti UniFi OS: cadena de tres CVSS 10.0 que entrega root sin autenticación (CVE-2026-34908/34909/34910)

Tres vulnerabilidades parcheadas individualmente en mayo vuelven a ser críticas cuando se encadenan: un atacante en la red obtiene root en el appliance UniFi OS sin credenciales ni interacción. CISA las agregó ayer al KEV con mandato de remediación del 26 de junio.

IP
IPSecureNetwork
June 24, 2026

Contexto del incidente

El 22 de mayo de 2026, Ubiquiti publicó el Security Advisory Bulletin 064 corrigiendo cinco vulnerabilidades en UniFi OS, su sistema operativo unificado que corre en Cloud Gateways, Network Controllers, Protect NVRs, Access Hubs y Talk appliances. Tres de ellas —CVE-2026-34908 (CWE-284, Improper Access Control), CVE-2026-34909 (CWE-22, Path Traversal) y CVE-2026-34910 (CWE-20, Improper Input Validation / command injection)— recibieron CVSS v3.1 10.0 (Critical) y afectan a UniFi OS Server en versiones 5.0.6 y anteriores, parchadas en 5.0.8 y superiores.

Tomadas individualmente, el advisory del vendor las trataba como bugs de severidad máxima pero con exploitation condicionado a acceso de red. El 8 de junio, los investigadores de Bishop Fox publicaron el detalle técnico: las tres se pueden encadenar en una cadena completa de remote code execution sin autenticación con privilegios de root. El 23 de junio, CISA agregó el trío al KEV Catalog bajo BOD 26-04, con due date 26 de junio (3 días) para agencies federales. La compañía Censys reporta alrededor de 100.000 endpoints UniFi OS expuestos a internet, casi la mitad en Estados Unidos.

El root cause es una inconsistencia entre cómo el componente de autenticación evalúa el URI crudo y cómo Nginx lo normaliza para rutearlo. Un atacante construye requests que en su forma cruda parecen apuntar a un endpoint exento de autenticación pero que, luego de la normalización de Nginx, resuelven a rutas internas protegidas. Una vez dentro, el endpoint vulnerable de actualización de paquetes de UniFi OS (package-update) pasa input sin validar a un comando de shell, ejecutando comandos arbitrarios bajo la cuenta de servicio unifi. Esa cuenta tiene sudo sin password sobre varios binarios del sistema, por lo que escalar a root es trivial. Bishop Fox confirmó la cadena completa en una instancia viva de UniFi OS Server 5.0.6 y publicó un script de detección en GitHub, pero no publicó un PoC funcional de la RCE.

"Un UniFi OS Server no es una caja Linux genérica: es el plano de management de toda una red corporativa, incluyendo cerraduras físicas, cámaras de vigilancia e identidades". — Bishop Fox.

¿Cómo proteger tu infraestructura?

1. Aplicar el firmware 5.0.8+ del Bulletin 064 en todos los UniFi OS

El primer paso y el único definitivo. Actualizá UniFi OS Server, Cloud Gateways (UCG-Fiber, UDM-Pro, UDM-Base, UDM-SE), Protect NVRs y Access Hubs a la versión que vino después del Bulletin 064 publicado el 22/05. Verificá la versión con ubnt-cli info o en la UI bajo Settings → System → Update. CISA exige completar este paso antes del 26 de junio; en la práctica, hacerlo esta semana es lo razonable.

2. Aislar la red de management en una VLAN dedicada

El vector de ataque es network-adjacent: cualquier dispositivo en el mismo segmento (una IoT comprometida, un usuario en guest Wi-Fi, un portátil en una red plana) llega al puerto de management del appliance. La mitigación clásica sigue vigente —segmentar la VLAN de management con ACLs estrictas, deshabilitar el acceso de management desde VLANs de guest/usuarios y limitar el acceso a un grupo pequeño de IPs administrativas conocidas. Ningún firewall perimetral te salva si el management está en la misma VLAN que la Wi-Fi pública.

3. Sacar UniFi OS de internet

No hay razón operativa válida para exponer el puerto 8443 (HTTPS de management) o 8843 (portal) hacia internet en un appliance que administrás desde la LAN o vía VPN. Si usás UniFi Cloud para acceso remoto, deshabilitá el portal local y dejá solo el relay de Ubiquiti. En Censys hay ~100.000 endpoints expuestos y, según los reportes, varios incidentes observados muestran attackers probando exactamente este patrón sobre rangos de IP de ISPs residenciales y comerciales.

4. Auditar cuentas administrativas nuevas y procesos sospechosos

Bishop Fox advierte que la cadena no deja rastro de autenticación fallida porque nunca se autentica. Lo que sí podés cazar: cuentas administrativas creadas con timestamps posteriores al 22/05/2026 que no reconocés, procesos hijos inesperados del servicio unifi, conexiones outbound desde el appliance hacia destinos no documentados (la cadena permite instalar binarios arbitrarios), y sobre todo cambios no autorizados en la configuración del appliance —reglas de firewall, VLANs, credenciales de radius, sitios VPN. Revisá el audit log de UniFi OS en Settings → System → Audit Trail y cruzalo con tu SIEM.

Indicadores de compromiso (IoC)

Estos son los IoCs específicos que podemos citar con fuentes abiertas. Útiles para revisar tu inventario de appliances UniFi OS y validar exposición en los feeds públicos de telemetría.

  • Vendor advisory: Ubiquiti Security Advisory Bulletin 064 (publicado 22/05/2026, corrige los tres CVEs en firmware 5.0.8+).
  • CISA KEV entries: CVE-2026-34908, CVE-2026-34909, CVE-2026-34910 (added 23/06/2026, BOD 26-04 due date 26/06/2026, 3-day mandate).
  • Detección Bishop Fox: https://github.com/BishopFox/CVE-2026-34908-check — script Python que envía requests inofensivos y clasifica el target como vulnerable/patched/unaffected. Útil para inventory masivo.
  • Endpoint interno vulnerable: ruta de package-update en UniFi OS (solo accesible después del auth bypass via CVE-2026-34908 + 34909).
  • Cuenta de servicio: la shell inyectada corre como unifi con passwordless sudo sobre varios binarios del sistema; cualquier alerta EDR/SIEM con ejecución de sudo sin password desde el usuario unifi es señal de compromiso.
  • Exposición Censys: query host.services.endpoints.http.html_title: "UniFi OS" and not labels: "HONEYPOT" devuelve ~100.000 endpoints; revisá si alguno de tus rangos IP aparece.
# Deteccion masiva desde un host de auditoria con el script de Bishop Fox
git clone https://github.com/BishopFox/CVE-2026-34908-check
cd CVE-2026-34908-check
pip install -r requirements.txt

# Apuntar a uno o varios appliances UniFi OS (reemplazar IPs)
python3 cve_2026_34908_check.py -t 192.0.2.10,192.0.2.11,unifi.example.internal \
  --timeout 5 --output-json resultado_unifi_audit.json

# Resultado esperado: {"vulnerable": 0, "patched": N, "unaffected": M, "inconclusive": K}
# Cualquier "vulnerable" requiere aplicacion del Bulletin 064 esta semana.

# Comprobacion de version (desde un host con cli de Ubiquiti)
ubnt-cli info | grep -iE "version|firmware"   # debe figurar >= 5.0.8

🛡️ ¿Tu consola UniFi está aislada del resto de la red?

En IPSecureNetwork ayudamos a empresas que tienen appliances UniFi (u otros controladores de red) heredados de años de "se configuró una vez y nadie lo tocó" a segmentarlos, parchearlos y dejarlos bajo monitoreo. Si querés validar si tu UniFi OS está expuesto a internet o si alguien ya pasó por ahí, pedinos un relevamiento.

SOLICITAR AUDITORÍA →