Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Ubiquiti ha rilasciato aggiornamenti di emergenza per la sua UniFi Network Application dopo la divulgazione di due vulnerabilità — una delle quali ha ricevuto il punteggio massimo possibile sulla scala CVSS, ovvero 10.0. Non è una di quelle situazioni in cui ci si può permettere di aspettare il prossimo ciclo di patching.
Il prodotto al centro della questione è il software di gestione dell’ecosistema UniFi: access point, switch, gateway, tutto ciò che nelle reti aziendali e prosumer passa sotto il cappello del controller Ubiquiti.
Una piattaforma diffusissima, usata tanto in ambienti enterprise quanto in home lab, e che può girare su Linux, Windows, macOS o in container Docker. Proprio questa versatilità — e la conseguente capillarità dell’installato — rende la notizia particolarmente rilevante.
La prima vulnerabilità: path traversal senza autenticazione, sistema compromesso
La più grave delle due falle, tracciata come CVE-2026-22557, è una vulnerabilità di path traversal con un punteggio CVSS v3.1 di 10.0. Il vettore d’attacco è impietoso: nessuna autenticazione richiesta, nessuna interazione utente, nessuna condizione speciale necessaria per sfruttarla da remoto.
In termini pratici, un attaccante con semplice accesso di rete può uscire dalle directory consentite dall’applicazione e raggiungere file sensibili sul sistema operativo sottostante. Tali file possono essere manipolati per ottenere accesso a un account di sistema, consegnando di fatto il controllo amministrativo completo dell’host a chi ha condotto l’attacco. Ubiquiti, nel proprio advisory ufficiale (Security Advisory Bulletin 062), descrive la cosa in modo asciutto ma inequivocabile: un attore malevolo con accesso alla rete può sfruttare questa falla per accedere a file sul sistema sottostante e manipolarli per accedere a un account di sistema.
La vulnerabilità è stata scoperta e segnalata dal ricercatore n00r3 (@izn0u). Tutte le versioni software rilasciate prima del 18 marzo 2026 risultano affette dalla falla.
La seconda vulnerabilità: NoSQL injection autenticata, privilege escalation
La seconda falla, CVE-2026-22558, è una vulnerabilità di NoSQL injection autenticata, con un punteggio CVSS di 7.7 (High). Qui è richiesta autenticazione preliminare, ma con credenziali a basso privilegio: una volta dentro, l’attaccante può iniettare query NoSQL malevole attraverso lo strato applicativo per scalare i propri privilegi, potenzialmente compromettendo dati sensibili di configurazione di rete e strutture interne degli account. La falla è stata scoperta da Garett Kopcha (@0x5t).
Messe insieme, le due vulnerabilità compongono uno scenario classico di attacco a doppio stadio: la prima apre la porta senza bussare, la seconda permette di prendere possesso della casa.
Le versioni affette e le patch disponibili
Il quadro delle versioni colpite è il seguente:
Ubiquiti ha rilasciato versioni corrette che indirizzano entrambe le vulnerabilità simultaneamente. Gli amministratori devono applicare gli aggiornamenti senza indugio:
Il contesto più ampio: Ubiquiti nel mirino da anni
Non è la prima volta che l’ecosistema Ubiquiti finisce nel radar degli attori malevoli. Nel febbraio 2024, l’FBI smantellò una botnet composta da router Ubiquiti Edge OS compromessi, utilizzata dal GRU russo per veicolare traffico malevolo in attacchi contro gli Stati Uniti e i loro alleati. I dispositivi Ubiquiti, per la loro diffusione e per la tendenza degli utenti a lasciarli esposti su internet senza ulteriori strati di protezione, sono diventati nel tempo un bersaglio ricorrente sia per gruppi sponsorizzati da stati che per cybercriminali.
Il fatto che CVE-2026-22557 non richieda alcuna autenticazione e sia sfruttabile da remoto rende particolarmente urgente l’intervento per chiunque esponga l’interfaccia di gestione UniFi su internet. Ubiquiti stessa raccomanda agli utenti di migrare verso UniFi OS Server per i deployment self-hosted, poiché include la suite completa di strumenti e aggiornamenti integrati.
Il percorso di remediation è chiaro: aggiornare immediatamente alle versioni corrette. Per chi non può farlo nell’immediato, la misura di mitigazione temporanea più efficace è la segmentazione di rete con regole firewall che limitino l’esposizione dell’interfaccia di gestione UniFi, impedendo l’accesso da segmenti non fidati o, a maggior ragione, da internet. L’interfaccia di management non dovrebbe mai essere raggiungibile dall’esterno senza VPN — una regola di igiene di base che, come spesso accade, non tutti rispettano.
Con un CVSS 10 in circolazione su una piattaforma così diffusa, la finestra per agire è stretta. I tempi tra la divulgazione pubblica e la weaponizzazione dei PoC si misurano sempre più spesso in ore, non in giorni.
Riferimenti ufficiali:
