중대한 UniFi OS 버그, 인증 없이 해커가 루트 권한 획득.
공격자는 이미 수정된 Ubiquiti UniFi OS 서버의 세 가지 취약점을 연쇄적으로 이용해 인증 없이 루트 권한으로 원격 코드를 실행할 수 있습니다.
보안 문제는 CVE-2026-34908, CVE-2026-34909, CVE-2026-34910으로 추적됩니다. 이 취약점들은 5월에 패치되었으며 UniFi OS Server 버전 5.0.6 이하에 영향을 줍니다.
세 가지 결함 모두 네트워크 접근이 필요함에도 불구하고 최대 심각도 등급을 받았지만, 공급업체의 권고문에는 원격 코드 실행을 위해 연쇄될 수 있다는 내용이 언급되지 않았습니다.
- CVE-2026-34908은 부적절한 접근 제어 결함으로, 취약한 시스템에 무단 변경을 허용할 수 있습니다.
- CVE-2026-34909는 경로 탐색 취약점으로, 기본 운영 체제의 파일을 노출시킬 수 있습니다.
- CVE-2026-34910은 명령어 삽입 결함으로, 영향을 받는 장치에서 명령을 실행하는 데 악용될 수 있습니다.
Bishop Fox 연구원들이 실제 UniFi OS Server 5.0.6 인스턴스에서 전체 공격 경로를 검증한 추가 기술 세부 사항에 따르면, CVE-2026-34908과 CVE-2026-34909를 이용해 인증을 우회하고 취약한 엔드포인트에 도달한 뒤, CVE-2026-34910이 명령어 삽입을 가능하게 합니다.
주입된 명령은 처음에 루트 권한으로 실행되지 않지만, 연구원들은 해당 서비스 계정이 sudo 권한을 가지고 있어 권한 상승이 매우 간단하다는 점을 발견했습니다.
Bishop Fox에 따르면, 대상 시스템에서 루트 쉘을 얻기 위해서는 자격 증명, 사용자 상호작용, 사전 접근 권한이 전혀 필요하지 않습니다.
“UniFi OS Server는 일반적인 리눅스 박스가 아니라 조직 네트워크의 관리 평면이며, 해당 장치가 배치된 물리적 출입문, 감시 카메라, 그리고 이와 연결된 신원 정보를 포함합니다.”라고 Bishop Fox가 설명합니다.
“장치에서 루트를 얻는다는 것은 콘솔이 관리하는 모든 것에 대한 관리 권한을 갖는다는 의미입니다.”
근본 원인 및 공격 체인
인증 우회의 근본 원인은 UniFi OS가 들어오는 요청을 검증하고 라우팅하는 방식 사이의 불일치에 있습니다.
구체적으로, 인증 컴포넌트는 원시 요청 URI를 평가하는 반면, Nginx는 동일한 URI의 정규화된 버전을 기반으로 라우팅합니다.
공격자는 원시 형태에서는 인증이 필요 없는 엔드포인트를 목표로 보이지만, 정규화 후에는 보호된 내부 라우트로 해석되는 요청을 조작함으로써 인증을 우회하고 공개되어서는 안 되는 백엔드 서비스에 접근할 수 있습니다.
내부에 진입한 뒤, 공격자는 CVE-2026-34910이 존재하는 패키지 업데이트 엔드포인트를 노려 사용자 입력을 검증 없이 쉘 명령에 전달해 임의 명령을 실행합니다.
주입된 명령은 비밀번호 없이 sudo 권한을 가진 여러 시스템 바이너리에 접근 가능한 고권한 서비스 계정으로 실행되므로, 루트 권한으로의 상승이 매우 쉽습니다.
연구원들은 RCE 체인을 검증했지만, 전체 세부 사항이나 작동하는 PoC는 공개하지 않았습니다.
탐지 도구 제공
Bishop Fox는 방어자가 자신의 인스턴스가 인증 없이 RCE 체인에 취약한지 확인할 수 있도록 무료 탐지 스크립트를 공개했습니다.
이 스크립트는 위험한 명령을 실행하지 않고도 취약한 코드 경로에 도달하는 특수 요청을 안전하게 전송한 뒤, 대상이 “취약”, “패치됨”, “무관” 또는 “불명확” 중 어느 상태인지 분류합니다.
다만, 이 스크립트는 현재 진행 중인 공격, 과거에 악용되었는지 여부, 혹은 지속성 메커니즘이나 백도어가 존재하는지를 탐지하지 못한다는 점을 유의해야 합니다.
연구원들은 인증이 필요 없기 때문에 이전 악용을 식별하기 어려울 수 있다고 지적합니다.
“체인은 자격 증명도, 사용자 상호작용도 없이 루트에 도달합니다(우리는 이를 확인했습니다). 따라서 확인할 수 있는 실패 로그인 기록이 없습니다.”라고 Bishop Fox는 경고합니다.
도구 외에도 방어자는 ‘/api/auth/validate-sso/’가 포함된 요청을 감시하고, ‘ucs/update/latest_package’에 대한 요청, ‘ucs-update’ 하위에서 의심스러운 자식 프로세스, 그리고 예상치 못한 sudo 명령을 모니터링할 수 있습니다.
Bishop Fox는 UniFi OS Server 5.0.8에서는 이 공격 체인이 동작하지 않음을 확인했으며, 사용자는 해당 릴리스 또는 이후 버전으로 업그레이드해야 한다고 밝혔습니다. 다만, 업데이트가 적용된 시스템이 아직 침해되지 않았는지 확인하는 절차도 필요합니다.
보안 팀은 성공적인 공격의 54%를 기록하고, 그 중 14%만을 경보로 알립니다. 나머지는 환경을 무시하고 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트하여 위협이 탐지되지 못하고 넘어가는지를 보여줍니다.