Сообщения об уязвимостях | Ubiquiti форум UBNT: инструкции, настройка

Сообщения об уязвимостях

ChangeLog

участник
14 Сен 2022
749
0
18
44
Заявление об уязвимости OpenSSL 3.x

Важно:
В результате объявления об уязвимости в OpenSSL3.x, группа кибербезопасности пользовательского интерфейса работала с различными группами разработчиков над аудитом наших продуктов. Мы хотели бы подтвердить, что следующие устройства НЕ являются уязвимым:

AmpliFi Alien
AmpliFi HD
AmpliFi Instant
Cloud Key
Cloud Key Gen2
Cloud Key Gen2 Plus
EdgeRouters
EdgeSwitches
UFIBER
UISP airCube
UISP airFiber
UISP airMAX
UISP LTU
UISP Router
UISP Switches
UISP Wave
UniFi Access Points
UniFi Gateways
UniFi Protect Cameras
UniFi Switches
UNVR
UNVR PRO

Как всегда, команда по кибербезопасности UI будет усердно отслеживать потенциальные уязвимости и быстро устранять их. Для получения дополнительной информации вы можете обратиться к оригинальному сообщению: https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
-Команда кибербезопасности пользовательского интерфейса.
 
Последнее редактирование:
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №026

Версия: 1.0
Редакция: 1.0

Резюме:
Уязвимость связана с удаленным выполнением кода в EdgeRouters (версия 2.0.9-hotfix.4 и более ранние), которая позволяет злоумышленнику с учетной записью оператора выполнять произвольные команды от имени администратора.
Эта уязвимость устранена в версии 2.0.9-hotfix.5 и в более новых версиях.

Затронутые продукты:
EdgeRouters

Решение:
Обновить EdgeRouter до версии 2.0.9-hotfix.5 или новее.

CVSS v3.0:
Базовая оценка: 8,8 (высокая)

Вектор:
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE: CVE-2022-43553

Ссылка:

https://community.ui.com/releases/EdgeMAX-EdgeRouter-Firmware-v2-0-9-hotfix-5/b3882362-9d9a-4efd-8110-30a1e86e0154
 
Последнее редактирование:
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №027

Опубликовано: 7 декабря 2022г.
Версия:
1.0
Редакция: 1.0

Резюме:
Неправильная проверка доступа позволяет злоумышленнику получать данные о состоянии и использовании с устройств UISP, указанных ниже.

Затронутые устройства:
airMAX AC
airFiber 60/LR
airFiber 60 XG/HD
GBE

Решение:
Обновить airMAX AC до версии 8.7.11 или более новой.
Обновить airFiber 60/LR до версии 2.6.2 или более новой.
Обновить airFiber 60 XG/HD до версии 1.0.0 или более новой.
Обновить GBE до версии 1.4.1 или более новой.

CVSS v3.0:
Базовая оценка: 5,3 (средняя)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE: CVE-2022-44565 semaja2

Ссылки:
https://community.ui.com/releases/airMAX-AC-8-7-11/9312e633-63de-4d4b-b242-c34381462861
https://community.ui.com/releases/AF60-AF60-LR-Firmware-2-6-2/7a975862-adc2-44f1-aab2-fe402f99abfb
https://community.ui.com/releases/AF60-HD-XG-Firmware-v1-0-0/aceb9eef-44f1-4de1-a1f2-cde2caa4f4cf
https://community.ui.com/releases/GigaBeam-1-4-1-1-4-1/6f19b4e5-d57a-47b2-99ed-f001b00bd4be
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №028

Опубликовано: 23 января 2023г.
Версия:
1.0
Редакция: 1.0

Резюме:
Уязвимость, обнаруженная в маршрутизаторах EdgeRouter и шлюзах безопасности UniFi (USG) с делегированием префикса DHCPv6, установленным в dhcpv6-stateless или dhcpv6-stateful, позволяет злоумышленнику, напрямую подключенному к WAN-интерфейсу уязвимого устройства, создать возможность для удаленного выполнения кода.

Затронутые устройства:

  • Все маршрутизаторы EdgeRouter, работающие под управлением версии 2.0.9-hotfix.5 и более ранних версий.
  • Все USG под управлением версии 4.4.56 и более ранних.
Решение:
  • Обновить все EdgeRouter до версии 2.0.9-hotfix.6 или более новой.
  • Обновить все USG до версии 4.4.57 или более новой.
CVSS v3.0:
Базовая оценка: 7,5 (высокая)

Вектор:
CVSS: CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE: CVE-2023-23912 (ZDI-CAN-19687 — NCC Group EDG (@alexjplaskett @saidelike @FidgetingBits @_mccaulay), работающая с Trend Micro Zero Day Initiative)

Ссылки:
https://community.ui.com/releases/UniFi-Security-Gateway-4-4-57/72409267-0f18-400f-8f44-7242a553e449

https://community.ui.com/releases/EdgeMAX-EdgeRouter-Firmware-v2-0-9-hotfix-6/63aa2542-db99-4f2d-8be2-0717dd2452de
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №029

Опубликовано: 11 апреля 2023г.
Версия:
1.0
Редакция: 1.0

Резюме 1 из 3:
  • Уязвимость в повышении локальных привилегий (LPE) в UI Desktop для Windows (версия 0.59.1.71 и более ранние) позволяет злоумышленнику с локальным доступом к устройству Windows, на котором запущено указанное приложение, отправлять произвольные команды от имени SYSTEM..
  • Эта уязвимость устранена в версии 0.62.3 и выше.
Затронутые устройства:
Пользовательский интерфейс рабочего стола Windows.

Решение:
Обновить пользовательский интерфейс рабочего стола Windows до версии 0.62.3 или более поздней.

CVSS v3.0:
Базовая оценка: 7,8 (Высокая)

Вектор:
CVSS: 3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
CVE: CVE-2023-28122

Резюме 2 из 3:
  • Неправильная конфигурация разрешений в UI Desktop для Windows (версия 0.59.1.71 и более ранние) может позволить пользователю перехватить учетные данные VPN во время запуска UID VPN.
  • Эта уязвимость устранена в версии 0.62.3 и выше.
Затронутые устройства:
Пользовательский интерфейс рабочего стола Windows.

Решение:
Обновить пользовательский интерфейс рабочего стола Windows до версии 0.62.3 или более поздней.

CVSS v3.0:
Базовая оценка: 4,4 (средняя)

Вектор:
CVSS: 3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N
CVE: CVE-2023-28123

Резюме 2 из 3:
  • Неправильное использование симметричного шифрования в UI Desktop для Windows (версия 0.59.1.71 и более ранние) может позволить пользователям, имеющим доступ к файлам конфигурации UI Desktop, расшифровать чужой контент.
  • Эта уязвимость устранена в версии 0.62.3 и выше.
Затронутые устройства:
Пользовательский интерфейс рабочего стола Windows.

Решение:
Обновить пользовательский интерфейс рабочего стола Windows до версии 0.62.3 или более поздней.

CVSS v3.0:
Базовая оценка: 4,4 (средняя)

Вектор:
CVSS: 3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N
CVE: CVE-2023-28124

Справочные ссылки:
https://download.uid.ui.com/?app=UI-DESKTOP-WINDOWS
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №030

Опубликовано: 10 мая 2023г.
Версия:
1.0
Редакция: 1.0

Уязвимость Cross-site WebSocket Hijacking (CSWSH), обнаруженная в UniFi OS 2.5 и более ранних версиях, позволяет злоумышленнику получить доступ к определенной конфиденциальной информации (убедив пользователя UniFi OS посетить вредоносную веб-страницу).

Затронутые устройства:
Cloud Key Gen2
Cloud Key Gen2 Plus
UNVR
UNVR Professional
UDM
UDM Professional
UDM SE
UDR

Решение:
Обновите уязвимые устройства до UniFi OS 3.0.13 или более поздней версии.

CVSS v3.0:
Базовая оценка: 6,1 (Средняя)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:N/A:N
CVE: CVE-2023-28361 (5shield Cyber Forensic & Security Services)

Справочные ссылки:
https://community.ui.com/releases/UniFi-OS-Cloud-Keys-Gen2-3-0-17/24811ba8-7f9a-4cf5-826b-aaa5b170dcf5
https://community.ui.com/releases/UniFi-OS-Network-Video-Recorders-3-0-16/25432a9e-c738-4492-890d-2f63544a345a
https://community.ui.com/releases/UniFi-OS-Dream-Machines-3-0-20/1e3e2424-3ed9-411b-b872-a27bb30eb345
https://community.ui.com/releases/UniFi-OS-Dream-Machine-SE-3-0-18/5ab556f7-da59-4e88-bc6b-90654b37abb2
https://community.ui.com/releases/UniFi-OS-Dream-Router-3-0-17/b9ef9c45-f32c-4f68-9211-6853f37240d9
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №031

Опубликовано: 8 июня 2023г.
Версия:
1.0
Редакция: 1.0

  • Уязвимость файла резервной копии, обнаруженная в приложениях UniFi (версия 7.3.83 и более ранние), работающих в операционных системах Linux, позволяет администраторам приложений выполнять вредоносные команды на восстанавливаемом хост-устройстве.
  • Эта уязвимость устранена в версии 7.4.156 и выше.
Затронутое ПО:
Приложение UniFi (версия 7.3.83 и старее)

Решение:
Обновите приложение UniFi до версии 7.4.156 или новее.

CVSS v3.0:
Базовая оценка: 9,1 (Критическая)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE: CVE-2023-28365 (Mathew Marcus)

Справочные ссылки:
https://community.ui.com/releases/UniFi-Network-Application-7-4-156/15ac6260-9cd1-4ac3-a91c-4880c1c87882
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №032

Опубликовано: 27 июня 2023г.
Версия:
1.0
Редакция: 1.0

  • UniFi OS 3.1 привносит неправильную конфигурацию на консоли с UniFi Network, которая позволяет пользователям в локальной сети получать доступ к MongoDB.
  • Эта уязвимость устранена в UniFi OS 3.1.13 и более поздних версиях.
Затронутые устройства:
Подходящие облачные ключи: (1) которые работают под управлением UniFi 3.1 OS и (2) на которых размещено приложение UniFi Network. «Applicable Cloud Keys» включают в себя следующие устройства: Cloud Key Gen2 и Cloud Key Gen2 Plus.

Решение:
Обновите UniFi OS до версии 3.1.13 или выше.

CVSS v3.0:
Базовая оценка: 10,0 (Критическая)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE: CVE-2023-31997

Справочные ссылки:
https://community.ui.com/releases/r/uckg2/3.1.13
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №033

Опубликовано: 29 июня 2023г.
Версия:
1.0
Редакция: 1.0

Уязвимость переполнения кучи, обнаруженная в EdgeRouters и Aircubes, позволяет злоумышленнику прерывать службу UPnP для указанных устройств.

Затронутые устройства:
  • Маршрутизаторы EdgeRouters с поддержкой UPnP, работающие под управлением 2.0.9-hotfix.6 и более ранних версий.
  • Aircubes с поддержкой UPnP, работающие под управлением 2.8.8 и более ранних версий.
Решение:
  • Обновить EdgeRouters до версии 2.0.9-hotfix.7 или более новой версии.
  • Обновить Aircubes до 2.8.9 или более новой версии.
CVSS v3.0:
Базовая оценка: 5,9 (Средняя)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
CVE: CVE-2023-31998

Справочные ссылки:
https://community.ui.com/releases/EdgeMAX-EdgeRouter-v2-0-9-hotfix-7/2693d34c-f878-45d3-90af-32da2b4895a2
https://community.ui.com/releases/airCube-2-8-9/33046b1b-f903-4492-b67b-e01096b05109
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №034

Опубликовано: 05 июля 2023г.
Версия:
1.0
Редакция: 1.0

  • Уязвимость межсайтового скриптинга (XSS), обнаруженная в UniFi Network (версия 7.3.83 и более ранние), позволяет злоумышленнику с учетными данными администратора сайта повысить привилегии, убедив администратора посетить вредоносную веб-страницу.
  • Эта уязвимость устранена в UniFi Network версии 7.4.156 и выше.
Затронутое ПО:
UniFi Network (версия 7.3.83 и более ранние).

Решение:
Обновить UniFi Network до версии 7.4.156 или новее.

CVSS v3.0:
Базовая оценка: 8,4 (Высокая)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
CVE: CVE-2023-32000 (Mathew Marcus)

Справочные ссылки:
https://community.ui.com/releases/UniFi-Network-Application-7-4-156/15ac6260-9cd1-4ac3-a91c-4880c1c87882
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №035

Опубликовано: 09 августа 2023г.
Версия:
1.1
Редакция: 1.1

Резюме 1 из 2
Уязвимость целочисленного переполнения во всех точках доступа и коммутаторах UniFi, за исключением Switch Flex Mini, с включенным мониторингом SNMP и настройками по умолчанию может привести к удаленному выполнению кода (RCE).

Затронутые устройства:
Все точки доступа UniFi (версия 6.5.50 и более ранние)
Все коммутаторы UniFi (версия 6.5.32 и более ранние)

USW Flex Mini исключен.

Решение:
Обновить точки доступа UniFi до версии 6.5.62 или новее.
Обновите коммутаторы UniFi до версии 6.5.59 или новее.

CVSS v3.0:
Базовая оценка: 9,0 (Критическая)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE: CVE-2023-35085 (Mathew Marcus)

Резюме 2 из 2
Уязвимость внедрения команд в функции DHCP-клиента всех точек доступа и коммутаторов UniFi, за исключением Switch Flex Mini, может привести к удаленному выполнению кода (RCE).

Затронутые устройства:
Все точки доступа UniFi (версия 6.5.53 и более ранние)
Все коммутаторы UniFi (версия 6.5.32 и более ранние)

USW Flex Mini исключен.

Решение:
Обновить точки доступа UniFi до версии 6.5.62 или новее.
Обновите коммутаторы UniFi до версии 6.5.59 или новее.

CVSS v3.0:
Базовая оценка: 8,3 (Высокая)

Вектор:
CVSS: CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE: CVE-2023-38034 (Mathew Marcus)

Справочные ссылки:
https://community.ui.com/releases/UniFi-Access-Point-6-5-64/d8a0725c-a12b-44b2-bce3-e540602ecb81
https://community.ui.com/releases/UniFi-Access-Point-6-5-62/5f88c727-f812-4be7-9560-5f5d22a824d8
https://community.ui.com/releases/UniFi-Switch-6-5-59/124a0554-6d46-4c51-baba-efb99e330099
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №036

Опубликовано: 23 октября 2023г.
Версия:
1.0
Редакция: 1.0

В экземплярах UniFi Network Application, которые (!) запускаются на UniFi Gateway Console и (!!) имеют версию 7.5.176. или более раннюю, возможна адоптация устройства с неправильной логикой управления доступом, создавая риск получения информации о конфигурации злоумышленником, ранее имевшим доступ к сети.

Затронутые устройства:
UDM
UDM-PRO
UDM-SE
UDR
UDW

Решение:
Обновить UniFi Network до версии 7.5.187 или новее.

CVSS v3.0:
Базовая оценка: 10,0 (Критическая)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE: CVE-2023-41721 (Mathew Marcus)

Справочные ссылки:
https://community.ui.com/releases/UniFi-Network-Application-7-5-187/408b64c5-a485-4a37-843c-31e87140be64
 
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №037

Опубликовано: 20 февраля 2024г.
Версия:
1.1
Редакция: 1.1

Неверно сформированный пакет для обнаружения, отправленный злоумышленником, уже имеющим доступ к сети, может нарушить функциональность управления и обнаружения устройств.

Затронутые устройства:
UniFi Access Points
UniFi Switches
UniFi LTE Backup
UniFi Express (только режим Mesh, режим Router не пострадал)

Решение:
Обновить точки доступа UniFi до версии 6.6.55 или новее.
Обновить UniFi Switch до версии 6.6.61 или новее.
Обновить UniFi LTE Backup до версии 6.6.57 или новее.
Обновить UniFi Express до версии 3.2.5 или новее.

CVSS v3.0:
Базовая оценка: 7,5 (Высокая)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVE: CVE-2024-22054 (Solrunn)

Справочные ссылки:
https://community.ui.com/releases/UniFi-Access-Point-6-6-55/ca8e90a5-cfa3-44b5-b56c-1889ea6dbaed
https://community.ui.com/releases/UniFi-Switch-6-6-61/8f96bd97-d43b-4387-9b5e-6273f5db54bf
https://community.ui.com/releases/UniFi-LTE-6-6-57/c0f93016-bd56-4e1d-983d-5b895abddab2
https://community.ui.com/releases/UniFi-OS-Express-3-2-5/b77fd5db-49fa-472e-ad9d-27d930daa2d7
 
Последнее редактирование:
Автор
ChangeLog

ChangeLog

участник
14 Сен 2022
749
0
18
44
Информационный бюллетень по безопасности №038

Опубликовано: 25 марта 2024г.
Версия:
1.0
Редакция: 1.0

Уязвимость во внедрении команд (Command Injection), обнаруженная на локальном сетевом сервере UniFi (Linux) с UniFi Network Application (v8.0.28 и более ранние версии), позволяет злоумышленнику с учетными данными администратора сетевого приложения UniFi, повысить привилегии до root-доступа на хост-устройстве.

Затронутое программное обеспечение:
UniFi Network Application (v8.0.28 и более ранние) .

Решение:
Обновите UniFi Network Application до версии 8.1.113 или новее.

CVSS v3.0:
Базовая оценка: 9,1 (Критическая)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVE: CVE-2024-22054 (Mathew Marcus)

Справочные ссылки:
https://community.ui.com/releases/UniFi-Network-Application-8-1-113/af46fd38-8afe-4cef-8de1-89636b02b52c
 
Автор Похожие темы Раздел Ответов Дата
G UniFi 1
D UniFi 3