Опубликовано

Ubiquiti под ударом. Критическая дыра в UniFi грозит корпоративной инфраструктуре

Ubiquiti под ударом. Критическая дыра в UniFi грозит корпоративной инфраструктуре

В операционной системе UniFi OS обнаружены семь критических уязвимостей - одна из них набрала максимальные 10 баллов по шкале CVSS

Ubiquiti экстренно латает дыры в своей экосистеме. Компания выпустила пакет обновлений, устраняющих семь критических уязвимостей сразу в нескольких продуктах - от приложений управления до маршрутизаторов и систем видеонаблюдения. Хуже всего обстоит дело с CVE-2026-50746: этот «баг» получил максимально возможную оценку угрозы - 10 из 10.

Что именно сломано и чем это грозит

Уязвимость CVE-2026-50746 прячется в приложении UniFi Connect - программном ядре, которое объединяет под единым интерфейсом все «умные» системы корпоративного уровня. Речь про интеллектуальное освещение, зарядные станции для электромобилей, здания и их инженерные подсистемы - словом, про то, что принято называть Enterprise of Things. Атакующему достаточно иметь доступ к сети, чтобы через некорректный контроль доступа пробраться на хост-устройство и выполнить там произвольные команды. Никакой сложной цепочки эксплойтов. Просто сеть - и всё.

Компрометация единого управляющего интерфейса означает потенциальный контроль над всей связанной инфраструктурой. Отключить освещение в офисном комплексе, заблокировать зарядные станции, вмешаться в работу систем безопасности - диапазон возможного ущерба широк. Именно поэтому максимальная оценка CVSS здесь выглядит вполне оправданно.

Уязвимость подтверждена для всех версий UniFi Connect Application вплоть до 3.4.16 включительно. Единственный способ закрыть брешь - обновиться до версии 3.4.20 или выше.

Остальные шесть: не легче

Помимо флагманской дыры, Ubiquiti разобралась ещё с шестью критическими проблемами. Они затрагивают:

  • UniFi Talk - платформу корпоративной телефонии
  • UniFi Access - системы контроля и управления доступом
  • UniFi Protect - решения для видеонаблюдения
  • UniFi OS Server - серверную часть операционной системы
  • Маршрутизаторы, шлюзы и сетевые накопители Ubiquiti

Идентификаторы уязвимостей - CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115 и CVE-2026-55116. Подробности по каждой производитель раскрыл в официальном бюллетене безопасности.

Почему это важно именно сейчас

Оборудование Ubiquiti традиционно популярно в среднем и крупном бизнесе - из-за относительно невысокой цены и богатой функциональности. Миллионы устройств компании работают в корпоративных сетях по всему миру. Это делает любую критическую уязвимость в их экосистеме событием отраслевого масштаба, а не внутренней историей одного вендора.

Промедление с установкой патча здесь буквально опасно. Большинство выявленных уязвимостей не требует изощрённых техник для эксплуатации - порог входа для атакующего минимален. Администраторам инфраструктуры на базе UniFi стоит расставить приоритеты соответственно.