CVE-2025-52665 : RCE non authentifiée dans UniFi OS expose routeurs et contrôle d’accès Ubiquiti

Selon gbhackers.com (Divya, 3 novembre 2025), des chercheurs ont découvert une vulnérabilité critique d’exécution de code à distance non authentifiée dans UniFi OS d’Ubiquiti, récompensée 25 000 $, qui permet la prise de contrôle complète des équipements, dont les routeurs UniFi Dream Machine et les systèmes d’accès.

🚨 Vulnérabilité: CVE-2025-52665 — une RCE non authentifiée via un endpoint de sauvegarde exposé. Un endpoint prévu pour l’interface loopback, /api/ucore/backup/export, était en réalité accessible depuis l’extérieur sur le port 9780, créant une surface d’attaque critique.

🧨 Cause racine: validation d’entrée insuffisante sur le paramètre dir. Le service de sauvegarde passait ce paramètre directement à des commandes shell (dont mktemp, chmod, tar) sans échappement, permettant une injection de commandes lorsque des métacaractères étaient fournis.

🛠️ Exploitation: en envoyant une requête POST avec un JSON malveillant où dir contient des séquences d’injection (ex. ; pour chaîner des commandes et # pour commenter la suite), les chercheurs ont pu exécuter des commandes arbitraires avec privilèges élevés, exfiltrer /etc/passwd et établir un reverse shell, démontrant un accès interactif complet. L’accès s’étend aux composants UniFi Access, permettant de contrôler des systèmes de portes et la gestion des identifiants NFC.

🔓 Expositions supplémentaires: plusieurs endpoints non authentifiés ont été identifiés au-delà de la RCE principale:

• /api/v1/user_assets/nfc — accepte des POST pour provisionner de nouvelles crédentials NFC sans authentification.
• /api/v1/user_assets/touch_pass/keys — expose des matériels de crédentials sensibles, incluant des clés NFC Apple et des données Google Pass contenant des clés privées au format PEM.

Produits concernés :

• Application UniFi Access (versions 3.3.22 à 3.4.31).

Mesure corrective :

• Mettez à jour votre application UniFi Access vers la version 4.0.21 ou une version ultérieure.

Informations fabricant: https://community.ui.com/releases/Security-Advisory-Bulletin-056-056/ce97352d-91cd-40a7-a2f4-2c73b3b30191

IOCs et TTPs:

• Indicateurs (IOCs):
  • Port exposé: 9780
  • Endpoints: /api/ucore/backup/export, /api/v1/user_assets/nfc, /api/v1/user_assets/touch_pass/keys
• TTPs:
  • Accès non authentifié à des endpoints API
  • Injection de commandes via le paramètre dir dans un flux de sauvegarde shellisé
  • Exfiltration de fichiers système (ex: /etc/passwd)
  • Reverse shell pour accès interactif et persistance

Type d’article: rapport de vulnérabilité décrivant la faille, sa cause, les méthodes d’exploitation et l’ampleur de l’exposition.

---

🔗 Source originale : https://gbhackers.com/critical-unifi-os-flaw/

🖴 Archive : https://web.archive.org/web/20251112162845/https://gbhackers.com/critical-unifi-os-flaw/