CISA alerte sur 4 vulnérabilités critiques exploitées dans Ubiquiti UniFi OS et Lantronix EDS5000

🛡️ Contexte

Le 24 juin 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une alerte via sa directive BOD 26-04, signalant l’exploitation active de quatre vulnérabilités affectant des équipements réseau largement déployés. Les agences fédérales américaines disposent de trois jours pour appliquer les correctifs ou les mitigations recommandées.

🔴 Vulnérabilités Ubiquiti UniFi OS

Trois CVE ont été ajoutées au catalogue KEV pour les équipements Ubiquiti UniFi OS :

• CVE-2026-34908 : Contournement de contrôle d’accès permettant à un attaquant non authentifié d’effectuer des modifications non autorisées, pouvant mener à une compromission totale du système.
• CVE-2026-34909 : Traversée de répertoire (path traversal) permettant l’accès à des fichiers sensibles (configurations, credentials), facilitant une prise de contrôle de compte.
• CVE-2026-34910 : Validation d’entrée incorrecte permettant l’injection et l’exécution de commandes OS arbitraires, pouvant conduire à une exécution de code à distance (RCE).

Ubiquiti a publié des correctifs en mai 2026. Les chercheurs de Bishop Fox ont démontré que ces trois failles peuvent être chaînées pour obtenir un RCE complet avec privilèges élevés. Bishop Fox a également publié un script de détection gratuit sur GitHub.

🔴 Vulnérabilité Lantronix EDS5000

• CVE-2025-67038 : Injection de commandes root-level de sévérité critique dans le module HTTP RPC du serveur Lantronix EDS5000 (firmware 2.1.0.0R3). Le nom d’utilisateur fourni est directement concaténé dans une commande shell sans assainissement, permettant l’injection de commandes OS arbitraires. Le correctif est disponible dans la version 2.2.0.0R1.

ℹ️ Informations complémentaires

• La CISA n’a partagé aucun détail sur les modalités d’exploitation observées.
• Le flag « utilisation dans des campagnes ransomware » est défini sur « Inconnu » pour les quatre CVE.

📋 Type d’article

Alerte de sécurité institutionnelle relayant l’ajout de quatre vulnérabilités activement exploitées au catalogue KEV de la CISA, avec description technique des failles et référence aux correctifs disponibles.

🧠 TTPs et IOCs détectés

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1059 — Command and Scripting Interpreter (Execution)
• T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
• T1083 — File and Directory Discovery (Discovery)
• T1552 — Unsecured Credentials (Credential Access)

IOC

• CVEs : CVE-2026-34908 — NVD · CIRCL
• CVEs : CVE-2026-34909 — NVD · CIRCL
• CVEs : CVE-2026-34910 — NVD · CIRCL
• CVEs : CVE-2025-67038 — NVD · CIRCL

🟡 Indice de vérification factuelle : 55/100 (moyenne)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 2740 chars — texte partiel (10pts)
• ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 5 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/4 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/cisa-warns-of-max-severity-ubiquiti-flaws-exploited-in-attacks/