Falla di gravità massima in Ubiquiti UniFi OS. C’è una patch urgente

Ubiquiti ha distribuito un importante aggiornamento di sicurezza destinato all’intero ecosistema UniFi, risolvendo sette vulnerabilità classificate come critiche tra cui una particolarmente grave identificata come CVE-2026-50746, che raggiunge il livello massimo di severità e potrebbe consentire a un attaccante di eseguire comandi arbitrari sui dispositivi compromessi. Per amministratori di rete, aziende e professionisti IT l’installazione delle patch dovrebbe essere considerata una priorità assoluta.
La vulnerabilità più pericolosa interessa UniFi Connect, la piattaforma software utilizzata per gestire infrastrutture intelligenti all’interno di edifici commerciali. L’applicazione permette di amministrare da un’unica interfaccia impianti di illuminazione LED, sistemi di controllo accessi, colonnine di ricarica per veicoli elettrici e altri dispositivi connessi. Secondo quanto comunicato da Ubiquiti, un aggressore già presente sulla rete locale potrebbe sfruttare un difetto nei controlli di accesso per iniettare comandi direttamente sul sistema che ospita l’applicazione.
Si tratta di una vulnerabilità di Command Injection, una delle categorie di bug più pericolose in ambito cybersecurity. Se sfruttata con successo, consente infatti di impartire istruzioni direttamente al sistema operativo, aprendo la strada al controllo del dispositivo, all’installazione di malware, all’esfiltrazione di dati sensibili oppure a movimenti laterali verso altri sistemi presenti sulla stessa infrastruttura. Per mitigare il rischio, Ubiquiti invita gli utenti ad aggiornare immediatamente UniFi Connect almeno alla versione 3.4.20, che corregge il problema eliminando il difetto individuato nelle release precedenti, fino alla 3.4.16 inclusa.
L’intervento dell’azienda non si limita però a questa singola vulnerabilità. L’aggiornamento interessa infatti altre sei falle critiche identificate dai codici CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115 e CVE-2026-55116, distribuite tra diversi componenti della piattaforma UniFi. Le correzioni coinvolgono UniFi Talk, dedicato alla telefonia IP, UniFi Access, utilizzato per il controllo degli accessi fisici, UniFi Protect, destinato agli impianti di videosorveglianza, oltre a UniFi OS Server e a numerosi dispositivi hardware del produttore, tra cui router, gateway, NAS e appliance per la gestione della sicurezza.
L’aspetto che desta maggiore attenzione è rappresentato dalla semplicità con cui molte di queste vulnerabilità potrebbero essere sfruttate. Ubiquiti ha infatti spiegato che sei delle sette vulnerabilità corrette richiedono un livello di complessità particolarmente basso e, nella maggior parte dei casi, non necessitano di alcuna interazione da parte dell’utente. In altre parole, un attacco potrebbe essere automatizzato e portato a termine senza che l’amministratore del sistema o gli utenti finali eseguano azioni specifiche.
Al momento l’azienda non ha confermato eventuali episodi di sfruttamento attivo prima della pubblicazione delle patch. L’assenza di evidenze pubbliche, tuttavia, non rappresenta una garanzia di sicurezza. È prassi consolidata che, una volta diffusi gli aggiornamenti e rese note le vulnerabilità, i cybercriminali analizzino rapidamente le modifiche introdotte per sviluppare exploit destinati ai sistemi rimasti privi di aggiornamenti.
A rendere il quadro ancora più delicato, contribuisce la diffusione della piattaforma UniFi su Internet. Secondo le rilevazioni della società specializzata in threat intelligence Censys, risultano visibili online oltre 100.000 istanze di UniFi OS, con circa la metà localizzate negli Stati Uniti. Il dato va interpretato con cautela, poiché comprende anche risultati storici delle scansioni e potrebbe includere sistemi ormai dismessi o configurati come honeypot, ma evidenzia comunque quanto sia ampia la superficie d’attacco potenzialmente disponibile.
Negli ultimi anni, i prodotti Ubiquiti sono stati più volte presi di mira sia da gruppi di cybercriminali, sia da attori riconducibili a campagne di cyberspionaggio sponsorizzate da Stati. La loro ampia diffusione nelle reti aziendali, nelle piccole imprese e nelle infrastrutture distribuite li rende infatti bersagli particolarmente interessanti per la creazione di botnet e per l’occultamento del traffico malevolo. Un caso emblematico risale al febbraio 2024, quando l’FBI annunciò lo smantellamento della botnet Moobot, costruita sfruttando router basati su Ubiquiti EdgeOS e utilizzata, secondo le autorità statunitensi, dall’intelligence militare russa per instradare comunicazioni impiegate in operazioni di cyberspionaggio.
Anche la CISA, l’agenzia federale americana per la sicurezza informatica, ha richiamato più volte l’attenzione sulle vulnerabilità dell’ecosistema Ubiquiti. Già nel 2022 inserì una grave falla presente in AirOS nel catalogo delle vulnerabilità attivamente sfruttate, imponendo alle agenzie governative tempi molto stretti per l’applicazione delle correzioni. Lo scorso giugno l’agenzia è tornata a lanciare un nuovo allarme riguardante tre vulnerabilità di gravità massima presenti in UniFi OS, anch’esse corrette poche settimane prima. In quell’occasione gli enti federali statunitensi ricevettero l’ordine di aggiornare i sistemi entro appena tre giorni, a testimonianza della pericolosità delle falle individuate.
(Immagine in apertura: Shutterstock)

