Vol. 2 | N. 6 | Pp. 189–191 | 2026 | ISSN xxxx-xxxx
UniFi OS em risco: cadeia de falhas permite RCE sem autenticação e com privilégios de root
Pesquisadores da Bishop Fox demonstraram uma cadeia completa de exploração no UniFi OS Server que transforma uma única requisição em uma shell de root, sem credenciais e sem interação do usuário. O problema é especialmente grave porque o appliance funciona como plano de gerenciamento da infraestrutura, o que amplia o impacto para redes, credenciais, sessões administrativas e, em ambientes físicos, câmeras e controles de acesso.
Visão geral de um ataque
A exploração combina três vulnerabilidades já corrigidas pela Ubiquiti: CVE-2026-34908, CVE-2026-34909 e CVE-2026-34910. A primeira envolve controle de acesso inadequado, a segunda é path traversal e a terceira é validação inadequada de entrada que leva a command injection. Em conjunto, elas permitem bypass da autenticação, acesso a um endpoint interno sensível e execução remota de comandos com privilégios elevados.
Como o bypass acontece
O ponto inicial da cadeia é uma divergência entre a forma como o Nginx e o backend interpretam a mesma URI. O gateway de autenticação examina a URI bruta, enquanto o roteamento do Nginx usa a versão normalizada, o que abre espaço para requisições que passam como “exceções públicas” mas chegam a rotas internas autenticadas. Esse descompasso permite que um atacante alcance o fluxo que expõe a etapa de atualização de pacotes sem precisar autenticar.
authCheck = async (req, res) => { let uri = getHeader(req.headers, "x-original-uri"); // the RAW $request_uri ... if (publicRoutes.has(`${method} ${uri}`) || uri?.startsWith("/api/auth/validate-sso/")) // public / auth-exempt prefix return res.statusCode = 200, res.end(); ... return res.statusCode = 401, res.end(); };
Onde entra a injeção
Depois do bypass, o atacante alcança o endpoint de atualização que recebe um nome de pacote controlado pelo usuário e o repassa para uma chamada de shell. O problema é que o valor é interpolado sem sanitização, então caracteres de shell são interpretados como comandos, e não como dados. A Bishop Fox validou o comportamento com uma requisição de prova segura e confirmou que o alvo vulnerável responde de forma distinta de um sistema corrigido.
sudo /usr/bin/uos runnable latest-versions %vElevação de privilégios para root
A execução inicial não acontece como root, mas sim sob uma conta de serviço associada ao fluxo de atualização. O detalhe crítico é que essa conta possui permissões sudo sem senha para binários específicos, o que reduz a escalada final a um passo praticamente imediato. Na prática, isso transforma a injeção de comando em comprometimento total do host.
O que o acesso root em mãos maliciosas pode causar
A Bishop Fox destaca que o UniFi OS Server guarda muito mais do que configurações de rede. Com root, um atacante pode acessar chaves de sessão JWT, chaves TLS, tokens de nuvem, banco de usuários, segredos de RADIUS, configurações de Wi-Fi e VPN, além de dados biométricos e NFC usados em soluções de controle de acesso. O efeito mais perigoso é a persistência: com a chave de assinatura de sessões em mãos, um invasor pode forjar tokens administrativos que continuam válidos mesmo após a aplicação do patch.
Detecção e resposta
A Bishop Fox publicou uma ferramenta de detecção segura para verificar exposição sem executar comandos no alvo. A lógica é simples: em um sistema vulnerável, a requisição atravessa o gateway e chega ao backend, enquanto em um sistema corrigido ela é bloqueada antes disso. Como não há necessidade de autenticação, não existe trilha clássica de falha de login para apoiar a triagem; por isso, a observação do tráfego de entrada e a análise de processos e chamadas sudo anômalas se tornam mais importantes.
Mitigação
A correção do fornecedor está disponível e o caminho mais importante é atualizar para UniFi OS Server 5.0.8 ou superior. A Bishop Fox também recomenda tratar qualquer instância exposta antes do patch como potencialmente comprometida, rotacionar todos os segredos e invalidar sessões, porque o patch encerra o vetor de entrada, mas não desfaz o que já foi copiado ou forjado por um atacante com root. Em ambientes com UniFi Access e UniFi Protect, isso inclui revisar portas, câmeras, credenciais e trilhas de auditoria ligadas ao plano de gerenciamento.