CVE-2026-34908 : Triple CVSS 10.0 Ubiquiti UniFi OS

Les faits

Ubiquiti a publié des correctifs d'urgence pour trois vulnérabilités de sévérité maximale dans son système d'exploitation UniFi OS, chacune portant le score CVSS v3.1 le plus élevé possible : 10.0. Ces failles — référencées CVE-2026-34908, CVE-2026-34909 et CVE-2026-34910 — peuvent être exploitées par un attaquant distant sans authentification préalable et sans interaction de l'utilisateur, avec une faible complexité d'attaque (AC:L). Elles permettent collectivement de prendre le contrôle total d'un équipement réseau Ubiquiti : modification de la configuration, exécution de commandes arbitraires, accès aux credentials stockés. Les vulnérabilités ont été découvertes et signalées via le programme de bug bounty HackerOne d'Ubiquiti.

La première faille, CVE-2026-34908, est une vulnérabilité de contrôle d'accès inapproprié (CWE-284 — Improper Access Control). Elle permet à un attaquant non authentifié d'effectuer des modifications non autorisées en contournant les vérifications d'autorisation. Un équipement UniFi comprom is peut servir de pivot pour des attaques sur l'intégralité du réseau géré, permettre la redirection du trafic (man-in-the-middle), ou servir à l'installation d'implants persistants. Le score CVSS 10.0 reflète la combinaison d'un accès réseau sans contrainte, d'une complexité nulle et d'un impact complet sur la confidentialité, l'intégrité et la disponibilité.

CVE-2026-34909 est une vulnérabilité de traversée de répertoires (CWE-22 — Path Traversal) permettant à un attaquant d'accéder à des fichiers arbitraires sur le système de fichiers sous-jacent d'UniFi OS. L'exploitation peut conduire à la lecture de fichiers de configuration contenant des credentials d'administration, des clés cryptographiques, des certificats SSL et des configurations VPN (OpenVPN, WireGuard). L'advisory Ubiquiti mentionne que cette faille permet d'accéder à un compte système sous-jacent via le path traversal, indiquant un potentiel d'éscalade de privilèges au-delà de la simple lecture de fichiers.

CVE-2026-34910 est une injection de commandes (CWE-77 — Command Injection) via une validation insuffisante des entrées dans l'interface de gestion. Un attaquant ayant un accès réseau peut forger des requêtes contenant des commandes système exécutées avec les privilèges du processus UniFi OS, typiquement root. C'est la faille la plus directement destructrice des trois. Combinée avec CVE-2026-34909 pour obtenir des credentials ou naviguer dans le système de fichiers, cette injection de commandes constitue une chaîne d'exploitation particulièrement redoutable pouvant mener à une compromission persistante et difficile à détecter.

En parallèle de ces trois CVE CVSS 10.0, Ubiquiti a également corrigé CVE-2026-33000, une injection de commandes critique supplémentaire, et CVE-2026-34911, une divulgation d'informations de sévérité haute. La simultanéité de cinq vulnérabilités significatives dans un même advisory suggère soit une revue de sécurité interne approfondie, soit une recherche ciblée par un tiers via le programme HackerOne. Aucune exploitation active in-the-wild n'a été confirmée publiquement, mais la publication d'un triple CVSS 10.0 constitue une priorité de scan pour les acteurs offensifs.

UniFi OS équipe l'ensemble de la gamme Ubiquiti UniFi : Dream Machine (UDM), Dream Machine Pro (UDM-Pro), Dream Router (UDR), Dream Wall (UDW), Cloud Key Gen2, ainsi que les consoles UniFi dédiées à la vidéosurveillance et au contrôle d'accès. Ces équipements sont massivement déployés dans les PME, établissements d'enseignement, hôtels, campus universitaires et commerces de détail. Ubiquiti revendique plusieurs millions d'appareils UniFi déployés mondialement.

La surface d'exposition est amplifiée par l'activation fréquente de la gestion distante via le cloud UniFi. Des configurations avec le portail d'administration directement accessible sur le port 443 ou 8443 depuis internet constituent la surface d'attaque la plus immédiate. La Cyber Security Agency of Singapore (CSA) a publié une alerte officielle référencée AL-2026-059 concernant ces vulnérabilités, recommandant une mise à jour immédiate et une revue des configurations de management remote. Ubiquiti a publié les correctifs en amont de toute exploitation connue, suite à la divulgation responsable via HackerOne, selon BleepingComputer et Cybersecurity News.

La chaîne d'exploitation la plus préoccupante combine CVE-2026-34909 et CVE-2026-34910 : le path traversal extrait des credentials ou clés cryptographiques, puis l'injection de commandes exécute du code arbitraire avec les privilèges système. Cette séquence est entièrement non authentifiée et peut être automatisée en quelques secondes. La publication de l'advisory avec les scores CVSS complets déclenche immédiatement des travaux de reverse engineering par des acteurs malveillants cherchant à reconstruire les exploits à partir des diffs de firmware. La fenêtre entre publication du patch et exploitation active est désormais mesurée en jours, pas en semaines.

Impact et exposition

Les trois failles CVSS 10.0 d'UniFi OS présentent le profil de risque le plus élevé dans la taxonomie CVSS : accès réseau sans contrainte, aucune authentification requise, aucune interaction utilisateur, faible complexité d'attaque. Un script automatisé peut scanner internet à la recherche d'interfaces UniFi OS exposées et les compromettre en quelques secondes. Un équipement UniFi comprom is est un équipement réseau central : il gère le routage, le DNS, le DHCP, le VPN et les points d'accès Wi-Fi — autant de vecteurs d'attaque secondaires vers l'ensemble du réseau géré.

Les organisations les plus exposées sont celles ayant activé le management remote UniFi sans restriction d'adresse IP source. Les déploiements en PME sont particulièrement concernés : UniFi est positionné comme solution réseau professionnelle abordable pour ce segment, avec accès cloud intégré. Un attaquant compromettant un routeur UniFi peut intercepter l'ensemble du trafic réseau de l'organisation et potentiellement injecter du trafic malveillant vers les postes de travail et serveurs internes.

La persistance post-exploitation est un risque majeur : même après mise à jour, un attaquant ayant exfiltré des credentials via CVE-2026-34909 ou installé une backdoor SSH via CVE-2026-34910 conserve un accès indirect. Toute rotation de credentials et audit de configuration doit accompagner la mise à jour du firmware. Les équipements déployés sur des sites distants où la connectivité n'est pas surveillée sont particulièrement vulnérables à une compromission passée inaperçue.

Recommandations immédiates

• Mettre à jour UniFi OS vers la version corrigée via Paramètres > Système > Mises à jour — vérifier les release notes Ubiquiti pour la version couvrant CVE-2026-34908, 34909, 34910, 33000
• Restreindre l'accès à l'interface d'administration : règles firewall limitant les ports 443/8443 aux seules adresses IP autorisées
• Vérifier dans Settings > System > Remote Access que seules des connexions autorisées sont listées
• Effectuer une rotation de tous les credentials après mise à jour : mots de passe admin, clés WPA2/WPA3, credentials VPN, identifiants RADIUS
• Auditer les logs de connexion UniFi OS des semaines précédentes : connexions depuis des IP inconnues, tentatives non authentifiées, modifications de configuration inattendues
• Si compromission suspectée : isoler l'équipement, factory reset, réappliquer le patch, reconfigurer l'ensemble des credentials avant reconnexion