Datenschutz & Sicherheit

Ubiquiti UniFi Access: Angreifer können sich unbefugt Zugriff verschaffen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

In der Zutrittssteuerungslösung Ubiquiti UniFi Access warnt der Hersteller vor einer kritischen Sicherheitslücke mit Höchstwertung. Sie ermöglicht Angreifern offenbar Zugriff auf eine Verwaltungs-Programmierschnittstelle (API) – ohne Authentifizierung. Aktualisierte Software zum Schließen des Sicherheitslecks steht bereit.

Weiterlesen nach der Anzeige

Ubiquiti hat eine Sicherheitsmitteilung zu dem Problem veröffentlicht (die Seite ist möglicherweise erst aufrufbar nach vorherigem Zugang über die Ubiquiti-Community-Release-Hauptseite). Die Umschreibung der Schwachstelle bleibt etwas nebulös: „Bösartige Akteure mit Zugriff auf das Verwaltungsnetzwerk können eine Fehlkonfiguration in UniFis Door-Access-Anwendung UniFi Access missbrauchen, die eine API ohne ordentliche Authentifizierung freilegt“ (CVE-2025-52665, CVSS 10, Risiko „kritisch„).

Welche Auswirkungen das genau hat und wie Angriffe aussehen könnten, erklärt Ubiquiti nicht. Vermutlich können sich Angreifer mit Netzwerkzugang dadurch unbefugt physischen Zutritt zu mit Ubiquiti-UniFi-Access-gesicherten Räumlichkeiten verschaffen. Die Risikoeinstufung legt eine leichte Ausnutzbarkeit nahe.

Ubiquiti UniFi Access: Updates verfügbar

Der Hersteller gibt an, den sicherheitsrelevanten Fehler in Version 3.3.22 von UniFi Access eingeführt zu haben, betroffen ist einschließlich Version 3.4.31. Nun stehen Version 4.0.21 oder neuer zur Verfügung, die die Schwachstelle ausbessern. Admins sollten die Aktualisierung umgehend vornehmen. Ubiquiti gibt diese Version als Migrationspfad an. Sie steht offenbar seit Mitte Oktober zur Installation bereit, das Changelog weist jedoch auf keine damit geschlossene Sicherheitslücke hin – deshalb könnten sie einige womöglich ausgelassen haben.

Vor nicht einmal zwei Wochen musste Ubiquiti sich um eine als hochriskant eingestufte Schwachstelle in UniFi Talk Touch kümmern. Die Debugging-Funktion der IP-Telefonie-Lösungen wurde offenbar nicht wie eigentlich vorgesehen ab Werk deaktiviert, sodass Angreifer mit Zugriff auf das UniFi-Talk-Management-Netzwerk über die APIs darauf hätten zugreifen können.


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen