Ubiquiti UniFi OS'te Kritik Güvenlik Açığı: CVE-2026-50746 Komut Enjeksiyonu Tehdidi Windows

Ubiquiti UniFi OS'te Kritik Güvenlik Açığı: CVE-2026-50746 Komut Enjeksiyonu Tehdidi

Ubiquiti, UniFi OS'teki 7 kritik güvenlik açığını yamaladı. Bunlardan biri olan CVE-2026-50746, ağa erişimi olan saldırganların komut enjeksiyonu yapm

Ubiquiti, UniFi OS işletim sisteminde bulunan yedi kritik güvenlik açığını gidermek için güncellemeler yayınladı. Bu açıklardan biri olan CVE-2026-50746, maksimum önem derecesine sahip ve komut enjeksiyonu saldırılarına yol açabiliyor. Açık, UniFi Connect Uygulaması'nın 3.4.16 ve önceki sürümlerini etkiliyor. Bu yazılım, ticari bina yönetimini otomatikleştirmek ve akıllı LED aydınlatma sistemleri ile elektrikli araç şarj cihazlarını tek bir arayüzden yönetmek için kullanılıyor.

Ubiquiti, güvenlik açığını şöyle açıkladı: 'Ağa erişimi olan kötü niyetli bir aktör, UniFi Connect Uygulaması'nda bulunan bir Uygun Olmayan Erişim Kontrolü güvenlik açığını kullanarak ana cihazda Komut Enjeksiyonu gerçekleştirebilir.' Şirket, kullanıcıların potansiyel saldırılara karşı korunmak için etkilenen UniFi Connect uygulamasını 3.4.20 veya daha yeni bir sürüme güncellemesini önerdi.

Perşembe günü Ubiquiti, UniFi Talk, UniFi Access ve UniFi Protect uygulamalarında, UniFi OS Sunucusu'nda ve çok çeşitli Ubiquiti yönlendirici, ağ geçidi, NAS ve gözetim sistemlerinde altı kritik önemde güvenlik sorununu daha (CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115, CVE-2026-55116) yamaladı. Ubiquiti, bu açıkların daha önce vahşi ortamda kullanılıp kullanılmadığını henüz açıklamadı, ancak altı tanesinin kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarla istismar edilebileceğini paylaştı.

Tehdit istihbarat şirketi Censys, çevrimiçi olarak 100.000'den fazla UniFi OS örneğini takip ediyor ve bunların çoğu (yaklaşık 50.000 IP adresi) Amerika Birleşik Devletleri'nde bulunuyor. Ancak, bu güvenlik açıklarına karşı kaç tanesinin korunduğu veya honeypot olduğu hakkında detay yok. Devlet destekli tehdit grupları ve siber suç örgütleri, son yıllarda Ubiquiti ürünlerini sık sık hedef alarak kötü amaçlı faaliyetleri gizlemek için botnet'ler oluşturuyor. Örneğin, Şubat 2024'te FBI, Rusya'nın GRU'su tarafından kullanılan Moobot botnet'ini çökertti.

Paylaş: