Hauptanalyse
Sicherheit & Risiko5 Min.

Ubiquiti veröffentlicht CVE-2026-50746 mit CVSS 10.0 bei UniFi Connect und exponiert 100.000 Endpunkte im Internet

Rack de rede predial iluminado por lanterna, controlador UniFi com LED vermelho aceso

Ein Fehler in der Zugriffskontrolle ermöglicht die Ausführung von Befehlen ohne Authentifizierung im benachbarten Netzwerk und ist Teil des Pakets SAB-066, das 25 Sicherheitsanfälligkeiten in der UniFi-Linie behebt.

Ubiquiti hat am Mittwoch das Sicherheitsbulletin SAB-066 veröffentlicht, das 25 Sicherheitsanfälligkeiten im UniFi-Portfolio behebt. Die schwerwiegendste davon, CVE-2026-50746, erhielt den CVSS-Wert von 10.0 und betrifft die UniFi Connect-Anwendung in den Versionen 3.4.16 oder tiefer. Der Patch ist in der Version 3.4.20 verfügbar.


Die Klasse des Fehlers ist Improper Access Control (CWE-284). Der Ausführungsweg für Befehle in UniFi Connect ist ohne Authentifizierung zugänglich, was einem Angreifer in benachbarter Netzwerkposition die Möglichkeit gibt, beliebigen Code auf dem Host auszuführen. Der CVSS-Vektor verzeichnet einen Angriff von niedriger Komplexität, der keine Berechtigungen erfordert und keine Benutzerinteraktion benötigt. In betrieblichen Begriffen ist es das schlechteste Profil überhaupt: Sobald der Angreifer Sichtbarkeit auf die IP des Dienstes hat, ist der Zugriff sofort möglich.


Umfang der Exposition


Daten von Censys, die von mehreren Sicherheitsforschern zitiert werden, die das Bulletin analysiert haben, belegen, dass rund 100.000 UniFi OS-Endpunkte über das öffentliche Internet erreichbar sind. Diese Zahl umfasst Geräte aus den Familien UDM, UNVR und UNAS, die die UniFi OS-Basis teilen, selbst wenn UniFi Connect nicht verwendet wird. Nicht alle führen die verwundbare Komponente aus, aber die potenziell gefährdete Oberfläche ist eine der größten des Jahres.


Das SAB-066 enthält zwei weitere CVSS 9.9. CVE-2026-54402 ermöglicht die Befehlsinjektion im UniFi OS. CVE-2026-55115 erlaubt die Eskalation von Berechtigungen über SSRF im UniFi Protect, dem Videosystem des Anbieters. Zusammen decken die drei Vektoren die Verwaltungskette des Netzwerks ab, vom Gerätemanager bis zum physischen Sicherheitsunterprogramm.


Wo der Fehler wirklich schmerzt


UniFi Connect ist die Konsole, die Ubiquiti für den Gebäudebetrieb verkauft: Verwaltung von LED-Beleuchtung, Ladestationen für Elektrofahrzeuge und Integrationen mit Zugangskontrollen. In Unternehmensumgebungen läuft die Konsole typischerweise in einem segmentierten Facility-Netzwerk, das von der Produktion isoliert, jedoch kaum vom Management-Rechenzentrum getrennt ist. Es ist eine typische Oberfläche für seitliche Angriffe: Der Kompromiss von Facilities bietet einen Pivot zum Unternehmens-AD in einem signifikanten Teil der Einrichtungen.


Unternehmen, die UniFi im Retailbereich, Co-Working und Logistik standardisiert haben, verfügen oft über Dutzende oder Hunderte von Standorten mit demselben Netzwerk-Template. Der Patch-Betrieb gestaltet sich in diesem Szenario nicht als Upgrade eines zentralen Servers: Es handelt sich um einen koordinierten Rollout an jedem Standort, der oft von einem Nachtzeitfenster abhängt und ohne lokale SLA durchgeführt wird.


Lesestoff für SOCs in verschiedenen Märkten


In den USA konzentrieren sich der SMB-Markt und der Mid-Market auf einen signifikanten Teil der UniFi-Basis, genau das Segment mit der niedrigsten Reife in der Verwaltung von Sicherheitsanfälligkeiten. Verwaltete Netzwerkprovider, die diese Basis bedienen, werden Wochen Arbeit benötigen, um den Rückstand abzuarbeiten. In Europa erreicht das Bulletin rechtzeitig zur Gültigkeit der NIS2-Richtlinie, die von wesentlichen Betreibern eine Meldung und Minderung innerhalb kurzer Fristen verlangt: Ein Vorfall im Zusammenhang mit diesem CVE in einer Supermarktkette oder bei einem Logistikbetreiber löst Meldepflichten in mehreren Ländern des Blocks aus.


In Brasilien homologiert die Anatel einen Großteil der UniFi-Linie, und das Produkt ist häufig in Einkaufszentren, Krankenhäusern und mittelgroßen Kliniken anzutreffen. Die LGPD und die Resolution BC 4.658 verleihen dem Fehler regulatorisches Gewicht in finanziellen Operationen, die die Verwaltung der physischen Netzwerke auslagern. In Märkten wie Japan und Singapur stellt die Dichte von UniFi in neu in Plattformen für Smart Buildings integrierten Bürogebäuden die Aktualisierung in ein noch engeres Zeitfenster, wobei Integratoren den Patch mit Wartungsverträgen koordinieren müssen.


Was darüber hinaus zu tun ist


Der Hersteller empfiehlt ein sofortiges Upgrade auf UniFi Connect 3.4.20 oder höher und eine Überprüfung der anderen Punkte im SAB-066. Sicherheitsteams, die den Patch in den nächsten 24 Stunden nicht anwenden können, sollten den Zugriff auf den Managementplan, der aus dem Internet kommt, sperren, VPN für die Administration erzwingen und die Netzwerkprotokolle auf anomale Zugriffe auf den Anwendungspunkt überprüfen. Censys hat bereits in den Stunden nach der Veröffentlichung des Bulletins Anfragen zur Identifizierung der verwundbaren Version in großem Maßstab aufgezeigt, was die Zeit zwischen Veröffentlichung und opportunistischer Überprüfung verringert. Erkennungsteams sollten außerdem Regeln für das typische Payload-Muster zur Ausnutzung von CWE-284 am HTTP-Endpunkt von UniFi Connect aktivieren und die Ausgangstelemtrie der Geräte überprüfen, da die Exfiltration nach der Befehlsausführung häufig über schlecht gefilterte DNS-Tunnel in Facility-Segmenten erfolgt.


Der Fall erhebt erneut eine Entscheidung, die CISOs schon lange aufschieben: Wenn derselbe Anbieter Switch, Kamera und Zugangskontrolle liefert, zählt eine kritische Sicherheitsanfälligkeit gleichzeitig für drei Bereiche. Die Konvergenz der Infrastruktur vereinfacht den Einkauf und kompliziert die Reaktion.

Hauptanalyse