CISA KEV 警告 26/06/23:Ubiquiti UniFi OS/Lantronix の脆弱性を登録

CISA warns of max severity Ubiquiti flaws exploited in attacks

2026/06/24 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ubiquiti の UniFi OS と Lantronix における脆弱性の積極的な悪用について警告を発した。BOD 26-04 指令に従い、連邦政府機関に求められるのは、ベンダーが提供するセキュリティ・アップデートまたは緩和策の 3日以内に適用することである。

CISA が Known Exploited Vulnerabilities (KEV) カタログに追加した Ubiquiti の脆弱性は以下のとおりである。

  • CVE-2026-34908:UniFi OS システムに対する不正な変更を、未認証の攻撃者に許すアクセス制御バイパスの脆弱性である。システム全体の完全な乗っ取りにつながる可能性がある。
  • CVE-2026-34909:ディレクトリ・パス・トラバーサル脆弱性であり、基盤となるオペレーティング・システム上の機密ファイルへのアクセスを、攻撃者に対して許してしまう。結果として、コンフィグ・ファイル/認証情報などの機密データの漏洩が生じ、アカウント乗っ取りを容易にする恐れがある。
  • CVE-2026-34910:不適切な入力検証の脆弱性であり、攻撃者に対して任意のオペレーティング・システム・コマンドの注入と実行を許してしまう。リモートコード実行およびシステム全体の完全な乗っ取りにつながる可能性がある。

2026年5月の時点で Ubiquiti は、これら 3件の脆弱性に対するセキュリティ更新プログラムを公開し、未認証の攻撃者によりリモートから悪用される可能性があると警告していた。その後に Bishop Fox の研究者は、これら 3件の脆弱性を連鎖させることで、脆弱な UniFi OS デバイス上での権限昇格と完全なリモートコード実行を実証している。

さらに、Bishop Fox は、環境内の脆弱なインスタンスの発見を支援するために、GitHub 上で無料の検出スクリプトも公開している。


Lantronix のサーバで悪用されている脆弱性 CVE-2025-67038 (Critical) は、ファームウェア 2.1.0.0R3 を実行する EDS5000 モデルに影響を及ぼす、root 権限レベルでのコマンド・インジェクションの欠陥である。この脆弱性は、HTTP RPC モジュールに存在する。

このモジュールは認証失敗の試行を記録するためにシェル・コマンドを実行するが、指定されたユーザー名が適切なサニタイズ処理を経ずにシェル・コマンドへ直接連結される。したがって、この欠陥を突く攻撃者による、任意のオペレーティング・システム・コマンドの注入と実行が可能になる。

Lantronix は CVE-2025-67038 に対するパッチを公開しており、ユーザーに対して EDS5000 バージョン 2.2.0.0R1 へのアップグレードを推奨している。


これら 4 件の脆弱性について、CISA は観測された悪用の詳細を公表していない。また、”ランサムウェア・キャンペーンでの使用フラグ” は、すべて “Unknown” に設定されている。

上記製品を管理するシステム管理者に強く推奨されるのは、提供されているセキュリティ更新プログラムおよびベンダーが推奨する緩和策を、可能な限り早急に適用することだ。