TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
พบช่องโหว่ระดับ Critical จำนวน 3 รายการบน Ubiquiti UniFi OS Server ที่สามารถนำมาเชื่อมโยงกัน (chain) เพื่อรันคำสั่งจากระยะไกลด้วยสิทธิ์ root ได้โดยไม่ต้องผ่านการยืนยันตัวตน
ช่องโหว่ทั้งสามรายการถูกติดตามภายใต้รหัส CVE-2026-34908, CVE-2026-34909 และ CVE-2026-34910 โดยส่งผลกระทบต่อ UniFi OS Server เวอร์ชัน 5.0.6 และเก่ากว่า ทาง Ubiquiti ได้ออกแพตช์แก้ไขไปแล้วตั้งแต่เดือนพฤษภาคมที่ผ่านมา แม้ทั้งสามช่องโหว่จะได้รับการจัดระดับความรุนแรงสูงสุด แต่คำแนะนำของผู้ผลิตในตอนแรกไม่ได้ระบุว่าช่องโหว่เหล่านี้สามารถนำมาเชื่อมโยงกันเพื่อทำ Remote Code Execution ได้
รายละเอียดของช่องโหว่แต่ละรายการประกอบด้วย CVE-2026-34908 ซึ่งเป็นช่องโหว่ประเภท improper access control ที่เปิดให้มีการเปลี่ยนแปลงระบบโดยไม่ได้รับอนุญาต, CVE-2026-34909 ซึ่งเป็นช่องโหว่ path traversal ที่ทำให้สามารถเข้าถึงไฟล์บนระบบปฏิบัติการเบื้องหลังได้ และ CVE-2026-34910 ซึ่งเป็นช่องโหว่ command injection ที่ใช้รันคำสั่งบนอุปกรณ์ได้ ทีมวิจัยจาก Bishop Fox ที่ทดสอบเส้นทางการโจมตีบน UniFi OS Server 5.0.6 จริง ระบุว่า CVE-2026-34908 และ CVE-2026-34909 ถูกใช้เพื่อ bypass การยืนยันตัวตนและเข้าถึง endpoint ที่มีช่องโหว่ จากนั้น CVE-2026-34910 จะถูกใช้เพื่อ inject คำสั่งเข้าไป โดยไม่จำเป็นต้องมี credentials, การโต้ตอบจากผู้ใช้งาน หรือสิทธิ์การเข้าถึงใด ๆ มาก่อน
ต้นเหตุของการ bypass การยืนยันตัวตนเกิดจากความไม่สอดคล้องกันระหว่างวิธีที่ UniFi OS ตรวจสอบและกำหนดเส้นทาง (routing) ของ request โดย component ที่ทำหน้าที่ยืนยันตัวตนจะประเมินจาก raw request URI ในขณะที่ Nginx กำหนดเส้นทางจาก URI เวอร์ชันที่ผ่านการ normalize แล้ว ผู้โจมตีจึงสามารถสร้าง raw request ที่ดูเหมือนชี้ไปยัง endpoint ที่ได้รับการยกเว้นการยืนยันตัวตน แต่กลับ resolve ไปยัง route ภายในที่ถูกป้องกันไว้หลังการ normalize ทำให้เข้าถึง backend service ที่ไม่ควรเปิดเผยสู่ภายนอกได้ แม้คำสั่งที่ inject เข้าไปจะไม่ได้รันด้วยสิทธิ์ root ในตอนแรก แต่ service account ที่เกี่ยวข้องมีสิทธิ์ sudo แบบไม่ต้องใช้รหัสผ่านกับ binary หลายตัวในระบบ ทำให้การยกระดับสิทธิ์ไปเป็น root ทำได้อย่างง่ายดาย
Bishop Fox ได้เผยแพร่ สคริปต์สำหรับตรวจสอบ แบบฟรีเพื่อช่วยให้ทีมป้องกันสามารถระบุได้ว่าระบบของตนมีช่องโหว่หรือไม่ โดยส่ง request ที่ออกแบบมาเป็นพิเศษไปยัง code path ที่มีช่องโหว่อย่างปลอดภัยโดยไม่รันคำสั่งอันตราย แล้วจำแนกผลเป็น vulnerable, patched, unaffected หรือ inconclusive อย่างไรก็ตามสคริปต์นี้ไม่สามารถตรวจจับการโจมตีที่กำลังเกิดขึ้น การถูกโจมตีในอดีต หรือกลไก persistence และ backdoor ที่อาจถูกฝังไว้ได้ ทั้งนี้ทีมวิจัยระบุว่าการตรวจสอบร่องรอยการโจมตีย้อนหลังทำได้ยาก เนื่องจากการโจมตีไม่ต้องผ่านการยืนยันตัวตน จึงไม่มีร่องรอยของ failed login ให้ตรวจสอบ นอกจากใช้เครื่องมือดังกล่าวแล้ว ทีมป้องกันยังสามารถเฝ้าระวัง request ที่มี /api/auth/validate-sso/ ติดตาม request ไปยัง ucs/update/latest_package รวมถึง child process ที่น่าสงสัยภายใต้ ucs-update และคำสั่ง sudo ที่ผิดปกติได้ Bishop Fox ยืนยันว่าการโจมตีนี้ใช้ไม่ได้กับ UniFi OS Server 5.0.8 ดังนั้นผู้ใช้งานควรอัปเดตไปยังเวอร์ชันนี้หรือใหม่กว่าโดยด่วน และควรตรวจสอบให้แน่ใจว่าได้ติดตั้งอัปเดตบนระบบที่ยังไม่ถูกโจมตี
