A CISA adicionou três falhas de gravidade máxima (CVSS 10) no Ubiquiti UniFi OS ao seu catálogo de vulnerabilidades em exploração ativa. Encadeadas, elas permitem que um invasor assuma o controle total do equipamento, com privilégios máximos, sem precisar de qualquer senha. A janela para correção foi fixada em três dias. Quem usa UniFi em casa ou na empresa e ainda não atualizou está correndo risco real.
Pontos-chave
- O que aconteceu: a CISA confirmou exploração ativa das falhas CVE-2026-34908, CVE-2026-34909 e CVE-2026-34910 no UniFi OS e deu prazo de três dias para correção.
- Gravidade: as três têm nota máxima (CVSS 10,0) e, combinadas, entregam execução remota de código sem autenticação.
- Correção: a Ubiquiti lançou o UniFi OS Server 5.0.8 em 21 de maio de 2026 com os patches; versões anteriores estão vulneráveis.
- O que fazer: atualizar imediatamente, restringir o acesso à interface de gestão à internet e verificar contas suspeitas.
CISA confirma ataque ativo no UniFi
Na última terça-feira (24 de junho de 2026), a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) incluiu três vulnerabilidades do UniFi OS na sua lista de Vulnerabilidades Conhecidas em Exploração (KEV). A inclusão não é um trâmite burocrático: significa que a agência tem evidências de que cibercriminosos já estão usando as falhas em ataques reais.
Pela diretiva BOD 26-04, órgãos do governo federal americano têm apenas três dias úteis para aplicar a correção ou as mitigações recomendadas pelo fabricante. Empresas privadas não estão sujeitas ao prazo legal, mas a urgência é a mesma: a janela de exposição é curta e os atacantes não esperam, conforme relatou o BleepingComputer.
A Ubiquiti havia lançado a correção na versão UniFi OS Server 5.0.8, em 21 de maio, sem mencionar exploração na natureza. Mas usuários relataram nos fóruns da empresa e no Reddit que os bugs vinham sendo explorados — provavelmente como zero-days — para criar contas de administrador falsas sob o nome “John Sim“, em ataques aparentemente automatizados de reconhecimento, segundo o SecurityWeek.
Como o ataque funciona na prática
A equipe da Bishop Fox reconstruiu a cadeia completa de exploração e provou que as três falhas, combinadas, entregam controle total sem autenticação. O mecanismo é elegante e perigoso.
A primeira falha, CVE-2026-34908, é um desvio no controle de acesso do gateway de autenticação. O problema está na forma como o servidor NGINX processa requisições manipuladas: na forma bruta, a requisição começa com um prefixo considerado isento de autenticação; na forma normalizada, ela aponta para uma rota interna protegida. Esse truque faz o pedido chegar a backends que exigiriam login — sem pedir credencial nenhuma.
Com o bypass pronto, entra a CVE-2026-34909, uma falha de path traversal que dá acesso a arquivos do sistema operacional, incluindo configurações e credenciais. O atacante pode ler dados sensíveis e abrir caminho para assumir contas. A terceira peça, CVE-2026-34910, é a execução de comandos: um campo que recebe nomes de pacotes não valida metacaracteres de shell, permitindo injetar e rodar código arbitrário.
A Bishop Fox validou o ataque contra uma máquina real com UniFi OS 5.0.6 usando um teste benigno baseado em tempo — uma requisição que simplesmente faz o servidor pausar antes de responder. Funcionou. O resultado: execução remota de código com privilégios máximos, do zero.
As três falhas comparadas
| CVE | Tipo de falha | CVSS | O que permite |
|---|---|---|---|
| CVE-2026-34908 | Bypass de controle de acesso | 10,0 | Desviar da autenticação e fazer alterações no sistema |
| CVE-2026-34909 | Path traversal | 10,0 | Ler arquivos do sistema e roubar credenciais |
| CVE-2026-34910 | Injeção de comandos | 10,0 | Executar código arbitrário e tomar o controle |
| CVE-2026-33000 | Variante (exige login) | 9,1 | Mesma classe de risco, mas requer autenticação prévia |
Há ainda uma variante autenticada, CVE-2026-33000 (CVSS 9,1), que pertence à mesma família mas exige que o invasor já tenha credenciais. O Cyber Security News ressalta que, uma vez comprometido um controlador ou gateway UniFi, o atacante pode se mover lateralmente pela rede interna, roubar credenciais e desviar tráfego — exatamente o modus operandi de grupos de ransomware.
Por que equipamentos UniFi são alvo
O UniFi OS não é um roteador qualquer. Ele centraliza a gestão de redes inteiras — access points, switches, câmeras e firewalls — e fica integrado ao coração da infraestrutura. O Centre for Cybersecurity Belgium alerta que a natureza centralizada do sistema é justamente o que torna um comprometimento tão grave: quem domina o controlador domina a rede, conforme destacou o SecurityWeek.
No Brasil, a linha UniFi é uma das mais populares entre pequenas e médias empresas, provedores de internet regionais e entusiastas que montam redes domésticas robustas. O custo-benefício e a interface de gestão centralizada tornaram o ecossistema Ubiquiti onipresente. Isso significa uma base enorme de dispositivos potencialmente desatualizados expostos à internet — o cenário ideal para varreduras automatizadas como as que criaram a conta “John Sim”.
A CISA não confirmou uso em campanhas de ransomware, mas classificou o status como “desconhecido” e advertiu que o acesso obtido pelas falhas corresponde à técnica habitual de operadores de ransomware. A diferença entre “desconhecido” e “não usado” é grande.
O risco cresceu na mesma semana
No mesmo anúncio, a CISA também acrescentou a CVE-2025-67038 (CVSS 9,8) ao catálogo KEV. Trata-se de uma injeção de comandos com privilégios de administrador em servidores seriais Lantronix EDS5000, que afeta o firmware 2.1.0.0R3. A vulnerabilidade está no módulo HTTP RPC, que concatena o nome de usuário diretamente em um comando de shell sem sanitização. Quem administra equipamentos industriais ou de automação que usam conversores seriais precisa ficar atento, segundo o BleepingComputer.
O padrão é claro: atacantes priorizam dispositivos de borda — firewalls, controladores de rede, servidores de gestão — porque são pontos de entrada poderosos. Um único equipamento vulnerável e exposto pode abrir a rede inteira, como já vimos em botnets que se espalham por roteadores abandonados e em falhas antigas em proxies de rede.
O que fazer agora
A correção é direta e gratuita. Os passos abaixo eliminam o risco imediato:
- Atualizar o UniFi OS Server para a versão 5.0.8 ou superior. É a única correção definitiva. Versões como 5.0.6 e anteriores estão vulneráveis ao encadeamento completo.
- Remover a interface de gestão da internet pública. Se o painel do UniFi estiver acessível por IP público, ele é alvo fácil de varreduras. Restrinja o acesso a VPN ou à rede interna.
- Verificar contas de administrador suspeitas. Procure por usuários desconhecidos — especialmente nomes genéricos como “John Sim” — e remova-os. Altere senhas de contas legítimas como precaução.
- Rodar o script de detecção da Bishop Fox. A empresa liberou uma ferramenta gratuita no GitHub para localizar instâncias vulneráveis no ambiente.
- Revisar logs de acesso. Busque requisições anômalas no gateway de autenticação e tráfego inesperado para rotas internas, sinais típicos do bypass explorado.
Para quem usa UniFi na nuvem (hosted pela Ubiquiti), a empresa já aplica atualizações automaticamente, mas vale confirmar a versão ativa no painel. Para instalações on-premise, a responsabilidade é integralmente do administrador. Acompanhe também outros alertas recentes da CISA sobre falhas em rede e IoT para manter o ambiente protegido.
Referências
- BleepingComputer — CISA warns of max severity Ubiquiti flaws exploited in attacks
- SecurityWeek — Critical Ubiquiti Vulnerabilities in Attackers’ Crosshairs
- Bishop Fox — Popping Root on UniFi OS Server: Unauthenticated RCE Chain
- Cyber Security News — CISA Warns of Ubiquiti UniFi OS Vulnerability Actively Exploited
- CISA — Known Exploited Vulnerabilities Catalog
- IntegSec — CVE-2026-34909: UniFi OS Path Traversal Vulnerability