はじめに:UniFi OSの重大な脆弱性が発覚
セキュリティ研究者らは、Ubiquiti社のUniFi OSにおいて、認証不要の重大なリモートコード実行(RCE)の脆弱性を発見しました。この脆弱性は25,000ドルの報奨金が支払われるほどの深刻なもので、CVE-2025-52665として追跡されています。この欠陥により、攻撃者は認証情報やユーザー操作なしにUniFiデバイスを完全に制御できるため、UniFi Dream Machineルーターやアクセス制御システムを使用する組織に重大なリスクをもたらします。
脆弱性の詳細:設定ミスとコマンドインジェクション
この脆弱性は、本来ローカルループバックインターフェースでのみ動作するように設計されていた/api/ucore/backup/exportというバックアップAPIエンドポイントの設定ミスに起因します。しかし、研究者らはこのエンドポイントがポート9780を介して外部からアクセス可能であり、意図されたセキュリティ制限を迂回していることを発見しました。
問題の核心は、バックアップオーケストレーションシステムがdirパラメーターをシェルコマンドに直接渡し、サニタイズやエスケープ処理を行わないという不適切な入力検証にあります。UniFi Coreサービスコードの分析により、バックアップ操作がmktemp、chmod、tarなどの複数のシェルコマンドを連鎖させ、ユーザーが提供したディレクトリパスを直接補間していることが判明しました。この設計パターンは、入力内のメタキャラクターがリテラルパスコンポーネントではなく新しいシェルコマンドとして解釈されるため、コマンドインジェクション攻撃の絶好の機会を生み出しました。
攻撃経路:悪意のあるJSONペイロードによるコード実行
研究者らは、意図されたコマンドを終了させ、任意のコードを注入する悪意のあるJSONペイロードを作成することで、この脆弱性の悪用に成功しました。攻撃は、特別にフォーマットされたdirパラメーターにコマンドインジェクションシーケンスを含むPOSTリクエストを公開されたエンドポイントに送信することで実行されました。
セミコロンを使用してコマンドを区切り、ハッシュ記号を使用して残りのシェル構文をコメントアウトすることで、攻撃者は完全なシステム権限で任意のコマンドを実行できました。研究者らは、/etc/passwdファイルの流出とリバースシェル接続の確立を実証し、侵害されたデバイスへの完全な対話型アクセスが可能であることを証明しました。
深刻な影響:物理アクセス制御システムへの侵入
基本的なシステムアクセスを超えて、この脆弱性はUniFi Accessコンポーネントへの直接的な侵入を可能にし、攻撃者に物理的なドアシステムやNFC認証情報管理インフラストラクチャの制御を許可しました。これは、組織の物理的セキュリティに対する深刻な脅威となります。
追加のAPI露出:NFC認証情報の漏洩
調査では、主要なRCE脆弱性以外にも、複数の認証不要のAPIエンドポイントが明らかになりました。研究者らは、/api/v1/user_assets/nfcが認証なしで新しい認証情報をプロビジョニングするためのPOSTリクエストを受け付けていることを発見しました。さらに、/api/v1/user_assets/touch_pass/keysは、Apple NFCキーやPEM形式の秘密鍵を含むGoogle Pass認証データなど、機密性の高い認証情報を公開していました。これらの追加の露出は、セキュリティへの影響をさらに悪化させ、攻撃者がアクセス制御システムを操作し、モバイルおよびNFCベースの認証メカニズムを保護する暗号化された認証情報を盗むことを可能にします。