米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Ubiquiti Networks の UniFi OS および Lantronix の serial-to-ethernet サーバーに存在する最大深刻度の脆弱性が、実際の攻撃で悪用されていることを確認し、緊急警告を発した。

Ubiquiti UniFi OS に連鎖可能な3件の脆弱性

今回 CISA が「既知の悪用済み脆弱性(KEV)カタログ」に追加した Ubiquiti 関連の CVE は以下の3件だ。

CVE-2026-34908 — アクセス制御バイパス 認証なしの攻撃者が UniFi OS に不正な変更を加えられる脆弱性。最悪の場合、システム全体の完全侵害につながる。

CVE-2026-34909 — ディレクトリ/パストラバーサル 攻撃者が OS 上の任意ファイルにアクセスできる。設定ファイルや認証情報の漏洩を経由して、アカウント乗っ取りへの踏み台になる。

CVE-2026-34910 — 不適切な入力検証によるコマンドインジェクション 任意の OS コマンドを注入・実行できる脆弱性。リモートコード実行(RCE)とシステムの完全掌握につながる。

Ubiquiti は5月にこれら3件のアップデートをリリース済みで「権限なしにリモートから悪用可能」と警告していた。その後、セキュリティ研究機関 Bishop Fox がこの3つを連鎖させることで昇格された権限を持つ完全な RCE が達成できることを実証した。Bishop Fox は同時に、脆弱なインスタンスを検出するための無料スクリプトを GitHub で公開している。

Lantronix EDS5000 にもルートレベルのコマンドインジェクション

Lantronix の EDS5000(ファームウェア 2.1.0.0R3)では CVE-2025-67038 が確認されている。HTTP RPC モジュールが認証失敗ログを記録する際に実行するシェルコマンドへ、ユーザー名をサニタイズなしで直接連結しているという古典的な設計ミスだ。ルートレベルの任意コマンド実行が可能で、深刻度は最大クラス(CVSS 9.6 相当)に達する。Lantronix はバージョン 2.2.0.0R1 へのアップグレードを推奨している。

実務への影響

BOD 26-04 指令により、米国連邦機関はアップデート適用まで3日以内という期限が設けられている。民間企業にこの義務はないが、KEV カタログへの掲載は「すでに攻撃者が武器化している」ことを意味する指標であり、日本の企業環境でも同等の緊迫感で対応すべきだ。

エンジニア・IT管理者がすぐやること:

  • 資産棚卸: 自環境に Ubiquiti UniFi OS デバイスや Lantronix EDS5000 が存在するか確認する
  • パッチ適用: 対象機器の最新ファームウェアを即時適用する
  • 検出スクリプトの活用: Bishop Fox が GitHub で公開している無料ツールで脆弱なインスタンスを洗い出す
  • セグメンテーション確認: これらのネットワーク機器がインターネットに直接露出していないか見直す

筆者の見解

ネットワーク機器の脆弱性が「連鎖させてワンショット RCE」に至るパターンは珍しくない。問題は UniFi が中小企業・教育機関・SOHO 環境で広く使われているがゆえに、「一度設定したら触らない」運用に陥りやすいことだ。パッチ管理の優先度が下がりやすい機器ほど、攻撃者に狙われやすい。

「今動いているから大丈夫」は通用しない——これはセキュリティの鉄則だ。ネットワーク機器は一度侵害されると、その先の内部ネットワーク全体への侵入路になる。ゼロトラストの観点からいえば、こういった機器をセグメント化してインターネットから直接到達できない構成にしておくことが最低限の前提となる。

Bishop Fox が無料の検出スクリプトを公開してくれている点は活用すべきだ。インフラ機器の脆弱性管理は「パッチが出たら当てる」から「常時監視して即応する」フローへの移行が求められている時期に来ている。

出典: この記事は CISA warns of max severity Ubiquiti flaws exploited in attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。