29.06.2026

Kritische Sicherheitslücken in UniFi OS werden bereits aktiv ausgenutzt

 

Netzwerk- und Sicherheitskomponenten stehen weiterhin im Fokus professioneller Bedrohungsakteure. Aktuell warnen Sicherheitsforscher, der Hersteller Ubiquiti sowie die US-Cybersicherheitsbehörde CISA vor drei kritischen Schwachstellen in UniFi OS, die bereits aktiv ausgenutzt werden. Unternehmen, die UniFi-Geräte einsetzen, sollten die bereitgestellten Sicherheitsupdates zeitnah installieren und ihre Systeme auf Anzeichen einer Kompromittierung überprüfen.

Was ist passiert?

UniFi OS ist das zentrale Betriebssystem und die Verwaltungsplattform vieler Ubiquiti-Geräte. Darüber werden unter anderem Firewalls, Router, Gateways, WLAN-Netzwerke, Switches sowie Videoüberwachungssysteme zentral verwaltet und konfiguriert. Da über UniFi OS die gesamte Netzwerkinfrastruktur administriert werden kann, stellt die Plattform einen besonders attraktiven Angriffspunkt für Cyberkriminelle dar.

In UniFi OS wurden drei kritische Schwachstellen (CVE-2026-34908, CVE-2026-34909 und CVE-2026-34910) mit einem maximalen CVSS-Score von 10.0 entdeckt. Besonders kritisch ist, dass sich diese Sicherheitslücken miteinander kombinieren lassen und dadurch eine vollständige Übernahme betroffener Systeme ermöglichen.

Die US-Cybersicherheitsbehörde CISA hat die Schwachstellen bereits in ihrem Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen. Zusätzlich wurde von Sicherheitsforschern ein funktionsfähiger Beispiel-Exploit veröffentlicht, wodurch das Risiko weiterer Angriffe deutlich steigt.

Wie funktioniert der Angriff?

Der Angriff richtet sich gegen die Verwaltungsoberfläche von UniFi OS. Durch die Kombination der drei Schwachstellen können Angreifer mehrere Sicherheitsmechanismen nacheinander umgehen. Zunächst verschaffen sie sich Zugriff auf interne Systemfunktionen, ohne sich mit gültigen Zugangsdaten authentifizieren zu müssen (Authentifizierungs-Bypass). Anschließend können sie auf vertrauliche Systemdateien zugreifen (Path Traversal) und schließlich beliebige Befehle auf dem Gerät ausführen (Command Injection).

Im Ergebnis erhalten die Angreifer die vollständige Kontrolle über die Management-Infrastruktur des betroffenen UniFi-Systems – mit den höchsten Systemberechtigungen (Remote Root Compromise). Das bedeutet, dass sie das System vollständig übernehmen können, ohne sich zuvor anmelden zu müssen. Anschließend können sie das Gerät wie ein Administrator verwalten, neue Benutzerkonten anlegen, Konfigurationen verändern oder Sicherheitsfunktionen manipulieren.

Bereits beobachtete Angriffe zeigen, dass Täter unbemerkt neue Administratorkonten – beispielsweise mit dem Namen „John Sim“ – anlegen. Solche Zugänge ermöglichen es ihnen, dauerhaft auf dem System zu verbleiben und weitere Angriffe auf interne Systeme vorzubereiten.

Was ist betroffen?

Betroffen sind unter anderem folgende Systeme mit UniFi OS:

  • UniFi Dream Machine (UDM)
  • UDM Pro
  • UDM SE
  • UDM Pro Max
  • UNVR G2 und UNVR Pro
  • UniFi OS Server
  • weitere UniFi-Geräte mit UniFi OS

 

Insbesondere kleine und mittelständische Unternehmen setzen UniFi-Produkte häufig als zentrale Netzwerk- und Sicherheitsinfrastruktur ein.

Warum ist das besonders kritisch?

UniFi-Gateways und Controller verwalten häufig die gesamte Netzwerkinfrastruktur eines Unternehmens. Wird ein solches System kompromittiert, können Angreifer unter anderem neue Benutzerkonten anlegen, Netzwerkkonfigurationen verändern, Sicherheitsmechanismen außer Kraft setzen oder weitere Systeme innerhalb des Unternehmensnetzwerks angreifen.

Da die Schwachstellen bereits aktiv ausgenutzt werden und öffentlich verfügbare Angriffswerkzeuge existieren, besteht für ungepatchte Systeme ein besonders hohes Risiko. Die Kombination aus einfacher Ausnutzbarkeit, fehlenden Exploit-Barrieren und bereits bestätigter aktiver Ausnutzung macht diese Schwachstellen besonders attraktiv für automatisierte Angriffe, Botnetze und großflächige Kampagnen.

Wie kann ich mich schützen?

Wir empfehlen betroffenen Unternehmen, die folgenden Maßnahmen zeitnah umzusetzen:

  • UniFi OS aktualisieren: Installieren Sie mindestens Version 5.1.12 beziehungsweise bei UniFi OS Server mindestens Version 5.0.8.
  • Systeme überprüfen: Kontrollieren Sie, ob unbekannte Administrator-Konten (z. B. „John Sim“) oder unerwartete Konfigurationsänderungen vorhanden sind. Entfernen Sie verdächtige Konten und setzen Sie betroffene Zugangsdaten zurück.
  • Management-Zugänge absichern & beschränken: Stellen Sie sicher, dass die Verwaltungsoberfläche Ihrer UniFi-Geräte nicht direkt aus dem Internet erreichbar ist. Der Zugriff sollte ausschließlich über das interne Netzwerk oder ein abgesichertes VPN erfolgen. Beschränken Sie den Zugriff auf Management-Systeme strikt auf dedizierte Admin-Netze oder Zero‑Trust-Zugriffe.
  • Logging & Detection aktivieren: Aktivieren und analysieren Sie HTTP-, System- und Audit-Logs, insbesondere hinsichtlich ungewöhnlicher API-Zugriffe, Directory-Traversal-Muster oder unerwarteter Shell-Kommandos.
  • Externe Angriffsfläche reduzieren: Überprüfen Sie regelmäßig, ob UniFi-Managementschnittstellen öffentlich erreichbar sind, und entfernen Sie unnötige Exponierung.

 

Unternehmen, die UniFi OS einsetzen, sollten ihre Systeme kurzfristig aktualisieren und vorsorglich auf Anzeichen einer Kompromittierung überprüfen.

Sie möchten über aktuelle Bedrohungen und Sicherheitslücken informiert bleiben?

Abonnieren Sie unseren Newsletter und erhalten Sie wichtige Warnmeldungen, Handlungsempfehlungen und Einschätzungen zu aktuellen Cyberrisiken direkt in Ihr Postfach.

 

Quellen & weiterführende Informationen

  • Ubiquiti Security Bulletin 064
  • CISA – Known Exploited Vulnerabilities (KEV)
  • heise Security – Aktive Angriffe auf UniFi OS
  • Bishop Fox – Technische Analyse und Proof of Concept