Ob eine der fünf Schwachstellen bereits vor ihrer Veröffentlichung aktiv ausgenutzt wurde, hat Ubiquiti bislang nicht mitgeteilt. Bekannt ist nur, dass alle über das HackerOne-Bug-Bounty-Programm gemeldet wurden und sich mit geringem Aufwand missbrauchen lassen.
Wie groß die potenzielle Angriffsfläche ist, zeigen Zahlen des Threat-Intelligence-Unternehmens Censys: Es verfolgt derzeit knapp 100.000 aus dem Internet erreichbare UniFi-OS-Endpunkte. Der Großteil davon – nahezu 50.000 IP-Adressen – entfällt auf die USA. Wie viele dieser Systeme bereits gegen die in dieser Woche geschlossenen Lücken abgesichert sind, ist offen.
Es ist nicht das erste Mal in jüngerer Zeit, dass Ubiquiti gravierende Schwachstellen beheben muss. Im März schloss der Hersteller eine ebenfalls mit Höchstwertung versehene Lücke (CVE-2026-22557) in der UniFi Network Application, über die sich Benutzerkonten übernehmen lassen könnten, sowie eine Schwachstelle (CVE-2026-22558) zur Rechteausweitung.
Ubiquiti-Produkte gerieten in den vergangenen Jahren wiederholt ins Visier sowohl staatlich unterstützter Hackergruppen als auch von Cyberkriminellen. In den entsprechenden Kampagnen wurden die Geräte gekapert, um Botnetze aufzubauen, hinter denen die Angreifer ihre Aktivitäten verbargen.
Ein Beispiel dafür ist Moobot: Im Februar 2024 zerschlug das FBI dieses Botnetz aus kompromittierten Ubiquiti-Edge-OS-Routern. Genutzt wurde es nach den Angaben vom russischen militärischen Auslandsnachrichtendienst GRU, um schädlichen Datenverkehr in Cyberspionage-Angriffen gegen die USA und ihre Verbündeten umzuleiten.
Bereits im April 2022 hatte die US-Behörde CISA eine kritische Command-Injection-Schwachstelle (CVE-2010-5330) in Ubiquiti AirOS in ihren Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen und Bundesbehörden angewiesen, ihre Geräte binnen drei Wochen abzusichern.
