A CISA (Cybersecurity and Infrastructure Security Agency) emitiu um alerta urgente para administradores de redes e profissionais de segurança após adicionar vulnerabilidades críticas da Ubiquiti e da Lantronix ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A inclusão nessa lista indica que as falhas já estão sendo exploradas por invasores em ataques reais, elevando significativamente o risco para organizações que ainda não aplicaram as correções disponíveis.
O aviso chama atenção especialmente para dispositivos que executam o UniFi OS, plataforma amplamente utilizada em redes corporativas, provedores de internet, ambientes educacionais e laboratórios domésticos. Segundo pesquisadores de segurança, as falhas identificadas podem ser combinadas para permitir desde acesso não autorizado até o comprometimento total dos equipamentos afetados.
Neste artigo, você entenderá quais são as vulnerabilidades envolvidas, por que elas representam uma ameaça tão séria e quais medidas devem ser adotadas imediatamente para reduzir os riscos.
Por que o alerta da CISA merece atenção imediata
A CISA é a principal agência de cibersegurança do governo dos Estados Unidos e mantém o catálogo de Known Exploited Vulnerabilities (KEV), uma lista de falhas para as quais existe evidência de exploração ativa por criminosos ou grupos maliciosos.
Quando uma vulnerabilidade entra nesse catálogo, ela deixa de ser apenas um problema teórico. Isso significa que invasores já encontraram formas de explorá-la no mundo real, tornando a aplicação de atualizações uma prioridade para administradores de sistemas.
No caso da Ubiquiti e da Lantronix, o cenário é ainda mais preocupante porque as falhas podem resultar em acesso privilegiado aos dispositivos responsáveis pela administração de redes inteiras.
Falhas críticas no UniFi OS colocam redes em risco
As vulnerabilidades corrigidas pela Ubiquiti afetam componentes do UniFi OS e, quando exploradas em conjunto, podem permitir que um invasor obtenha controle completo do equipamento.
Pesquisadores demonstraram que o encadeamento dessas falhas cria uma rota relativamente simples para comprometimento total do sistema.
CVE-2026-34908: bypass de controle de acesso
A CVE-2026-34908 é uma vulnerabilidade de bypass de controle de acesso.
Em termos práticos, ela permite que um atacante contorne determinadas restrições de segurança implementadas pelo sistema. Dependendo da configuração do ambiente, isso pode resultar no acesso a recursos que deveriam estar disponíveis apenas para usuários autorizados.
Falhas desse tipo costumam ser utilizadas como ponto inicial de invasões mais complexas, principalmente quando o dispositivo está acessível pela internet.
O risco aumenta em ambientes que utilizam configurações inadequadas de exposição remota ou segmentação insuficiente da rede.
CVE-2026-34909: travessia de diretório e acesso a informações sensíveis
A segunda falha identificada, CVE-2026-34909, envolve uma vulnerabilidade de travessia de diretório.
Esse tipo de problema ocorre quando um invasor consegue acessar arquivos localizados fora dos diretórios previstos pela aplicação.
Como consequência, podem ser expostos:
- Arquivos de configuração
- Credenciais armazenadas
- Tokens de autenticação
- Informações internas da rede
- Dados sensíveis do sistema
O acesso a esses elementos pode facilitar ataques posteriores, permitindo a obtenção de credenciais legítimas e a ampliação dos privilégios do invasor dentro do ambiente.
CVE-2026-34910: execução remota de código
Considerada a mais grave das três vulnerabilidades, a CVE-2026-34910 permite execução remota de código (RCE).
A falha está relacionada à validação inadequada de entradas fornecidas ao sistema. Um atacante pode explorar essa deficiência para injetar comandos maliciosos e executá-los diretamente no dispositivo comprometido.
Quando uma vulnerabilidade RCE é explorada com sucesso, as consequências podem incluir:
- Controle remoto do equipamento
- Instalação de backdoors
- Roubo de informações confidenciais
- Movimentação lateral na rede
- Interrupção de serviços
- Uso do dispositivo em campanhas maliciosas
Por esse motivo, falhas de execução remota de código estão entre as mais perigosas encontradas em produtos de infraestrutura.
Como o encadeamento das falhas pode levar ao controle total do sistema
Embora cada vulnerabilidade represente um risco individual, o cenário mais preocupante surge quando elas são exploradas em sequência.
Pesquisadores demonstraram que um invasor pode utilizar a primeira falha para obter acesso inicial, explorar a segunda para coletar informações sensíveis e, por fim, aproveitar a vulnerabilidade de execução remota para assumir o controle completo do dispositivo.
Esse processo é conhecido como encadeamento de vulnerabilidades e costuma aumentar significativamente a taxa de sucesso dos ataques.
Na prática, o invasor pode passar de um acesso limitado para privilégios elevados sem precisar explorar falhas adicionais.
Para organizações que utilizam o UniFi OS como plataforma central de gerenciamento, isso representa um risco direto à disponibilidade e à integridade da infraestrutura de rede.
Ferramenta gratuita da Bishop Fox ajuda na identificação
Os pesquisadores da Bishop Fox disponibilizaram uma ferramenta gratuita para auxiliar administradores na identificação de sistemas potencialmente vulneráveis.
A iniciativa tem como objetivo facilitar auditorias de segurança e acelerar a correção dos ambientes expostos.
Ferramentas desse tipo são particularmente úteis para provedores de internet, empresas com múltiplas unidades e organizações que administram grandes quantidades de dispositivos Ubiquiti.
Servidores Lantronix também entram na lista de ameaças da CISA
Além das falhas relacionadas ao UniFi OS, a CISA também destacou a vulnerabilidade CVE-2025-67038, que afeta dispositivos da Lantronix, especificamente modelos da linha EDS5000.
O problema está relacionado à falta de sanitização adequada de entradas associadas ao nome de usuário.
Essa deficiência permite a realização de uma injeção de comandos shell, possibilitando que um invasor execute comandos arbitrários no sistema.
O aspecto mais preocupante é que a exploração pode resultar em execução com privilégios elevados, potencialmente alcançando acesso de nível root.
Em ambientes industriais, operadoras de telecomunicações e infraestruturas críticas, esse tipo de comprometimento pode gerar impactos significativos e abrir caminho para ataques mais amplos.
Como proteger sua infraestrutura de rede
A recomendação mais importante é verificar imediatamente se os equipamentos afetados estão executando versões vulneráveis dos softwares.
Administradores que utilizam dispositivos Ubiquiti devem instalar as atualizações mais recentes disponibilizadas para o UniFi OS e seus componentes relacionados.
No caso da Lantronix, a orientação é atualizar para o firmware 2.2.0.0R1 ou versões posteriores que contenham as correções necessárias.
Além da atualização dos sistemas, especialistas recomendam:
- Restringir acessos administrativos pela internet
- Implementar segmentação de rede
- Utilizar autenticação multifator sempre que possível
- Monitorar logs de acesso e eventos suspeitos
- Realizar auditorias periódicas de segurança
- Remover exposições desnecessárias de interfaces administrativas
- Aplicar o princípio do menor privilégio
Essas medidas não eliminam a necessidade de atualização, mas ajudam a reduzir a superfície de ataque e dificultam a exploração de vulnerabilidades conhecidas.
A janela para atualização está se fechando
A inclusão dessas falhas no catálogo KEV da CISA é um sinal claro de que os ataques já estão ocorrendo. Organizações que ainda não aplicaram as correções podem se tornar alvos fáceis para campanhas automatizadas que buscam dispositivos vulneráveis conectados à internet.
Para administradores de redes, provedores de internet, equipes de TI e entusiastas que utilizam equipamentos da Ubiquiti, o momento de agir é agora. Atualizar os sistemas, revisar configurações de segurança e monitorar possíveis indicadores de comprometimento são medidas essenciais para evitar incidentes que podem resultar em interrupções de serviço, perda de dados e comprometimento da infraestrutura.