Wenn drei CVSS-10.0-Schwachstellen am selben Tag in dasselbe Betriebssystem fallen, ist das kein Einzelfall – das ist ein Strukturbefund. Am 22. Mai 2026 hat Ubiquiti im Stillen fünf Sicherheitslücken in UniFi OS gepatcht. Drei davon tragen die maximale Bewertung CVSS 10.0, und sie sind nicht voneinander unabhängig: CVE-2026-34908, CVE-2026-34909 und CVE-2026-34910 lassen sich zu einer geschlossenen Exploit-Kette verbinden, die einen unauthentifizierten Angreifer aus dem Internet in wenigen Sekunden zum Root-Account auf jeder exponierten Box bringt. Censys zählt aktuell knapp 100.000 öffentlich erreichbare UniFi-OS-Endpoints. Ein erheblicher Teil davon steht in deutschen Mittelstandsnetzen – als Gateway, als Firewall, als Aufzeichnungsserver für Überwachungskameras, als zentraler Identitätspunkt für ein halbes Werk. Wer am 28. Mai 2026 noch nicht gepatcht hat, betreibt seine Edge-Infrastruktur faktisch unverschlossen.

Was die drei Schwachstellen technisch tun

Die drei Lücken zielen auf unterschiedliche Schichten des UniFi-OS-Stacks, und gerade darin liegt ihre Brisanz. Ubiquiti, der Singapurer Cyber-Security-Behörde CSA und mehrere unabhängige Analysten beschreiben das Bild konsistent.

CVE-2026-34909 – Path Traversal: Ein nicht authentifizierter HTTP-Request gegen einen bestimmten Verwaltungs-Endpoint kann beliebige Dateien aus dem Filesystem lesen. Die Eingabevalidierung normalisiert ../-Sequenzen nicht, bevor sie an die Dateisystem-API durchgereicht werden. Praktisch heißt das: Ein Angreifer liest in einer einzigen Anfrage Konfigurationsdateien, gespeicherte Session-Tokens, lokale Admin-Hashes und die TLS-Schlüssel der Web-UI aus. Damit ist Phase eins abgeschlossen – der Angreifer kennt jetzt mindestens einen gültigen Sitzungstoken oder Anmeldeinformationen für die Box.

CVE-2026-34908 – Improper Access Control: Eine zweite Klasse von Endpoints prüft die Berechtigung nicht konsequent durch. Mit dem in Phase eins gewonnenen Token – oder, in vielen Fällen, schon ohne jedes Token – lassen sich administrative Konfigurationen ändern: neue Admin-Accounts anlegen, SSH-Zugriff aktivieren, Update-Endpunkte umbiegen, Custom-Skripte registrieren. UniFi OS unterscheidet hier in der Praxis nicht streng genug zwischen unauthentifizierten, lese- und schreibberechtigten Aufrufen. Phase zwei ist damit erledigt.

CVE-2026-34910 – Improper Input Validation / Command Injection: Über einen Konfigurationsparameter, der in einen Shell-Aufruf einfließt, kann ein Angreifer beliebige Befehle einschleusen. Da der zuständige UniFi-OS-Dienst als root läuft, bedeutet eine erfolgreiche Injection vollständige Systemkontrolle über das Gerät: Firewall-Regeln, Routing, VPN-Tunnel, gespeicherte WLAN-Schlüssel, Site-to-Site-Konfigurationen. Phase drei ist der Stein der Weisen – und sie braucht laut den vorliegenden Analysen exakt einen curl-Befehl.

Die Forscher, die die Schwachstellen über HackerOne an Ubiquiti gemeldet haben, beschreiben den Angriffsfluss so kompakt, dass er auf ein Post-it passt: read credentials with CVE-2026-34909, change configuration with CVE-2026-34908, execute arbitrary commands with CVE-2026-34910 – all three steps require zero authentication. Eine PoC liegt nach BleepingComputer-Bericht noch nicht öffentlich vor, doch erfahrene Red-Teams rekonstruieren solche Ketten innerhalb von Stunden, sobald die Patches reverse-engineered sind. Genau das passiert in diesen Tagen.

Welche Geräte betroffen sind – und wo der Mittelstand sie betreibt

Die offizielle Liste der betroffenen Plattformen ist lang: UDM, UDM-Pro, UDM-SE, UDM-Pro-Max, EFG, UDW, UDR, UDR7, Express 7, UNVR, UNVR-Pro, UNVR-Instant, ENVR, UCG-Ultra, UCG-Max und UCG-Fiber. Übersetzt heißt das: jeder kompakte UniFi-Router, jede Dream-Machine-Variante, jede Network-Video-Recorder-Appliance und die neuen Cloud-Gateway-Modelle. Genau diese Geräteklasse sitzt in tausenden deutschen Filialen, Praxen, Werkshallen und Außenstandorten – sie ist günstig, leistungsstark, gut administrierbar und hat in den letzten drei bis fünf Jahren in vielen Mittelstandsnetzen klassische Cisco- und Sophos-Boxen abgelöst. Genau dort wird sie jetzt zum Risiko.

Die gepatchten Versionen lauten UniFi OS Server 5.0.8 oder neuer für reine Software-Installationen und Firmware 5.1.12 oder neuer für die Hardware-Geräte. Für Express 7 reicht 4.0.14, für UNAS-Geräte 5.1.10. Wichtig: Ältere UniFi-OS-Versionen erhalten den Patch nicht automatisch, wenn Auto-Update deaktiviert ist – ein in Mittelstandsumgebungen mit Change-Management-Prozessen häufig gesetzter Default. Wer Auto-Update aus hat, hat den Patch nicht.

Warum dieser Vorfall mehr ist als ein Patch-Day

Drei Punkte machen CVE-2026-34908/34909/34910 zu einem Strukturproblem, das über das nächste Wartungsfenster hinausreicht.

Erstens: Die exponierte Verwaltungsoberfläche ist Standard, nicht Ausnahme. Ubiquiti hat seine Produktlinie über Jahre darauf optimiert, dass Administratoren die Geräte bequem über das offene Internet erreichen – per UniFi Network Application, per Mobile App, per cloud-vermittelter Fernwartung. Viele Mittelstandsnetze haben deshalb die Web-UI ihrer UDM-Pro auf Port 443 direkt aus dem Internet erreichbar, oft unwissentlich, weil der Provider den Port nicht filtert. Die 100.000 exponierten Endpoints, die Censys sieht, sind kein Konfigurationsfehler von Ausreißern – sie sind das Ergebnis einer Produktdesign-Entscheidung. Genau diese Designentscheidung steht jetzt zur Disposition.

Zweitens: Die Kette ist authentifizierungsfrei. Andere kritische Lücken der letzten zwölf Monate – etwa Ivanti EPMM CVE-2026-6973 oder einzelne Fortinet-Schwachstellen – setzten zumindest einen Foothold voraus. Hier nicht. Wer eine IP mit offener UniFi-OS-Verwaltung kennt, kann von der ersten bis zur dritten Stufe der Kette gehen, ohne ein einziges Passwort, einen einzigen Token oder eine einzige Klartextinformation zu besitzen. Das verändert die Geschwindigkeit, mit der ein Massen-Scan zu massenhaftem Root wird.

Drittens: Edge-Infrastruktur ist Identitätsinfrastruktur. Ein kompromittierter UniFi-OS-Server kennt die WLAN-PSKs aller Sites, die VPN-Konfigurationen, häufig die RADIUS-Shared-Secrets, in 802.1X-Umgebungen die Zugriffskontrolllisten. Wer Root auf der UDM-Pro hat, hat in vielen Mittelstandsnetzen faktisch die Schlüsselverwaltung des gesamten Standorts in der Hand. Das ist kein lokales Problem mehr, sobald der Angreifer den ersten Tunnel zur Zentrale aufbaut – etwa über ein Site-to-Site-VPN, das nun aus seiner Sicht jeder Stelle der Welt steht.

Sofort-Maßnahmen für die nächsten 24 Stunden

Es gibt drei Handlungslinien, die parallel laufen sollten. Wer eine davon weglässt, hat das Problem nicht gelöst.

Linie eins – Inventur und Patch. Eine vollständige Liste aller UniFi-OS-Instanzen erstellen. Das schließt physische Geräte, Software-Installationen auf eigener Hardware und Cloud-Hosted-Instanzen ein. Für jede Instanz die Version prüfen: Web-UI → Einstellungen → System → Updates. Geräte unter Firmware 5.1.12 (bzw. 4.0.14 für Express 7 und 5.1.10 für UNAS) sofort patchen. Wo Auto-Update aktiv ist, prüfen, dass die Updates tatsächlich angekommen sind – die Rollout-Welle bei Ubiquiti läuft schrittweise. Wo Auto-Update deaktiviert ist, manuell ausrollen, Reboot einplanen.

Linie zwei – Verwaltungsoberfläche aus dem Internet nehmen. Unabhängig vom Patch-Status sollte die UniFi-OS-Web-UI nie direkt im Internet stehen. Die saubere Variante: Verwaltungszugriff ausschließlich über VPN, über einen Bastion-Host oder über die UniFi-Cloud-Vermittlung mit zertifikatsbasierter Authentifizierung. Wer das Cloud-Portal nutzt, sollte zwingend MFA aktivieren und – das ist oft vergessen – Service-Accounts gesondert prüfen, ob sie noch einen direkten Webzugang besitzen. Eine schnelle Plausibilitätsprüfung: nmap -p443 <externe_IP> gegen jede bekannte Standort-IP. Wer hier UniFi-OS-Banner sieht, hat dringenden Handlungsbedarf.

Linie drei – Kompromittierungs-Indikatoren prüfen. Auch ohne öffentliche PoC kann nicht ausgeschlossen werden, dass die Schwachstellen seit dem Patch reverse-engineered und in privaten Kreisen ausgenutzt wurden. Was prüfen?

  • Neue Admin-Accounts oder veränderte SSH-Public-Keys auf der Box.
  • Unerwartete Firewall-Regeln, insbesondere Port-Forwarding-Einträge nach außen oder LAN-Bridge-Erweiterungen.
  • Cronjobs und systemd-Timer, die nicht von Ubiquiti stammen.
  • Untypische ausgehende Verbindungen vom UniFi-Gerät selbst, gerade über HTTP/HTTPS in Drittländer oder zu nicht-Ubiquiti-Update-Servern.
  • Veränderte RADIUS-Shared-Secrets, geänderte VPN-PSKs, neu erschienene Site-to-Site-Profile.

Wer Anzeichen findet, sollte das Gerät nicht einfach patchen und weiterbetreiben. Sondern: konfigurierte Geheimnisse rotieren (WLAN-PSKs, RADIUS-Secrets, VPN-PSKs, Admin-Passwörter), Gerät auf Werkseinstellungen zurücksetzen, Firmware neu aufspielen, Konfiguration aus einem geprüften Backup-Stand vor dem 22. April 2026 zurückspielen – nicht aus einem Backup, das nach diesem Stichtag entstanden ist.

Strategisch: Der UniFi-Vorfall ist ein Architekturproblem

Drei CVSS-10.0-Lücken in einer Produktfamilie sind nicht der Endpunkt der Diskussion – sie sind ein Anlass, die Edge-Architektur grundsätzlich zu prüfen. Drei Fragen, die ein IT-Leiter in den nächsten zwei Wochen beantworten können sollte: Welche meiner Standorte hängen am gleichen Geräte-Vendor, und wie groß ist mein Konzentrationsrisiko? Wer hat administrative Reichweite über meine Edge-Infrastruktur – und ist die Trennung zwischen Netzbetrieb, Identität und Workload sauber gezogen? Wie schnell kann ich einen kompromittierten Edge-Knoten auf jeder Größenstufe ersetzen, vom einzelnen Außenstandort bis zur Hauptverwaltung?

Wer auf eine dieser drei Fragen keine belastbare Antwort hat, sollte das nicht als Compliance-Punkt abhaken, sondern als Sicherheits-Architekturthema für die nächste Geschäftsleitungsrunde vormerken. CVE-2026-34908/34909/34910 sind ein Glücksfall, weil der Patch da ist. Die nächste Lücke dieser Klasse wird kommen – und sie wird vermutlich nicht mit Patches kommen, sondern mit einer Bug-Bounty-Auszahlung im Privatkreis und einem schweigenden Massen-Scan.

Wir bei pleXtec begleiten Mittelständler dabei, ihre Edge- und Netzwerkarchitektur so zu bauen, dass sie einen solchen Vorfall überlebt, nicht nur einen patcht. Wer eine externe Sicht auf die eigene UniFi-Topologie braucht – inklusive Internet-Exposure-Scan, Konfigurations-Review und IOC-Hunt – meldet sich gerne über unser Kontaktformular. Die nächsten 72 Stunden sind das Zeitfenster, in dem ein Patch noch reine Routine ist. Danach wird es Forensik.