Aanvallers maken actief misbruik van drie kritieke kwetsbaarheden in Ubiquiti UniFi OS waardoor aanvallers toegang tot apparaten kunnen krijgen, zo meldt het Amerikaanse cyberagentschap CISA. Het is volgens de Amerikaanse overheidsinstantie voor het eerst dat beveiligingslekken in UniFi OS bij aanvallen worden ingezet, zo ontdekte Security.NL. De impact van de drie beveiligingslekken is beoordeeld met een maximale CVSS-score van 10.0.

UniFi OS is het besturingssysteem dat op apparaten van Ubiquiti draait. De drie kwetsbaarheden betreffen path traversal, command injection en 'improper access control'. Aanvallers kunnen zo commando's op en ongeautoriseerde aanpassingen aan het systeem doorvoeren en toegang tot accounts krijgen. De drie problemen (CVE-2026-33000, CVE-2026-34908 en CVE-2026-34909) zijn aanwezig in verschillende Ubiquiti-producten die op UniFi OS draaien.

Ubiquiti kwam op 21 mei met beveiligingsupdates voor de kwetsbaarheden. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt nu dat de drie problemen bij aanvallen zijn ingezet. Details over deze aanvallen zijn niet gegeven. Amerikaanse overheidsinstanties zijn opgedragen om de Ubiquiti-updates binnen drie dagen te installeren.

Het CISA houdt een overzicht bij van actief aangevallen kwetsbaarheden, de Known Exploited Vulnerabilities Catalog. Het is voor het eerst dat UniFi OS-lekken aan de catalogus zijn toegevoegd. De enige andere Ubiquiti-kwetsbaarheid in het overzicht betreft een uit 2010 stammend beveiligingslek in Ubiquiti AirOS.