米 CISA は 6月23日、Ubiquiti UniFi OS の重大脆弱性 3 件 (CVE-2026-34908 / 34909 / 34910、いずれも CVSS 10.0) を Known Exploited Vulnerabilities (KEV) カタログに追加し、実攻撃を確認したと警告しました。攻撃者が「John Sim」という名前のローグ管理者アカウントを自動生成する事例が報告されており、連邦民間機関は BOD 26-04 に従い 6月26日までのパッチ適用が義務付けられます。
主なポイント
- 3 件は NGINX 認証ゲートウェイ迂回 (CVE-2026-34908 / 34909) と入力検証不備によるコマンドインジェクション (CVE-2026-34910) を連鎖させ、未認証で root 級のリモートコード実行を許す
- Bishop Fox の研究者が連鎖手法を公開しており、Censys は約 10 万台の UniFi OS 機器が公開状態 (大半が米国) と推定
- Ubiquiti は 5月21日に UniFi OS Server 5.0.8 を公開済み。約 1 か月の猶予があったが未適用機器が大規模に残存している
- 観測された攻撃は自動偵察に近い動きで、ローグ管理者の作成後にさらなる横展開が試みられた事例も報告
- 同日 CISA は Lantronix EDS5000 プラグインの脆弱性も KEV に追加。BOD 26-04 対象機関には 3 日以内の修正を要求
出典: CISA warns of max severity Ubiquiti flaws exploited in attacks - BleepingComputer