CISA предупредила об атаках на Ubiquiti UniFi OS и Lantronix: ведомствам дали три дня на исправление

Агентство CISA предупредило о реальной эксплуатации уязвимостей в Ubiquiti UniFi OS и серверах Lantronix EDS5000. BleepingComputer сообщает, что записи добавлены в каталог Known Exploited Vulnerabilities, а федеральные агентства США по директиве BOD 26-04 должны применить доступные обновления или рекомендованные меры защиты в течение трёх дней.

В случае Ubiquiti речь идёт сразу о трёх ошибках. CVE-2026-34908 описана как обход контроля доступа, позволяющий неаутентифицированному атакующему вносить несанкционированные изменения в систему UniFi OS. CVE-2026-34909 — directory/path traversal, через который можно получить доступ к чувствительным файлам базовой операционной системы, включая конфигурации и потенциально учётные данные. CVE-2026-34910 связана с недостаточной проверкой ввода и может привести к выполнению произвольных команд ОС.

Ubiquiti выпустила исправления ещё в мае и предупреждала, что ошибки могут эксплуатироваться удалённо без привилегий. Позднее исследователи Bishop Fox показали, что уязвимости можно объединить в цепочку для полного удалённого выполнения кода с повышенными правами на уязвимых устройствах UniFi OS. Компания также выпустила бесплатный скрипт обнаружения на GitHub, чтобы администраторы могли проверить свои инсталляции.

Отдельно CISA указала на CVE-2025-67038 в Lantronix EDS5000 с прошивкой 2.1.0.0R3. Это критическая root-level command injection в HTTP RPC-модуле: имя пользователя добавляется в shell-команду для логирования неудачных попыток входа без корректной очистки, что позволяет внедрять команды операционной системы. Lantronix рекомендует переходить на версию EDS5000 2.2.0.0R1.

CISA не раскрыла подробности наблюдаемых атак и указала, что связь этих уязвимостей с ransomware-кампаниями пока неизвестна. Но сам факт включения в KEV означает, что эксплуатация уже не теоретическая. Для организаций с UniFi OS и Lantronix в периметре приоритет должен быть простым: инвентаризация, обновление, проверка доступности административных интерфейсов извне и поиск признаков компрометации.

Источник: BleepingComputer, 24 июня 2026