CVE 2min de Leitura - 06 de agosto de 2025

CVE-2025-27212: Vulnerabilidade de Command Injection em dispositivos Ubiquiti UniFi Access

CVE-2025-27212

This post is also available in: Português

Em julho de 2025, a Ubiquiti divulgou uma vulnerabilidade crítica que afeta sua linha de dispositivos UniFi Access. A falha, identificada como CVE-2025-27212, foi classificada com pontuação CVSS 9.8, indicando severidade crítica.

A exploração dessa vulnerabilidade pode permitir que atacantes remotos executem comandos arbitrários diretamente no sistema dos dispositivos, sem necessidade de autenticação ou interação do usuário.

Natureza técnica da vulnerabilidade

A origem do problema está relacionada à validação inadequada de entrada (CWE-20), que permite a inserção de comandos maliciosos em campos não devidamente sanitizados. Essa falha facilita um ataque de Command Injection (CWE-77), no qual comandos arbitrários são injetados e executados diretamente no sistema operacional do dispositivo.

Como os dispositivos UniFi Access são, por definição, pontos de controle físico (portas, leitores, interfones), uma falha dessa magnitude não compromete apenas a segurança digital, mas também o acesso físico aos ambientes corporativos.

Produtos e versões afetadas

Estão vulneráveis os seguintes modelos da linha UniFi Access com versões de firmware desatualizadas:

  • UniFi Access Reader Pro com firmware até a versão 2.14.21
  • UniFi Access G2 Reader Pro até a versão 1.10.32
  • UniFi Access G3 Reader Pro até a versão 1.10.30
  • UniFi Access Intercom até a versão 1.7.28
  • UniFi Access G3 Intercom até a versão 1.7.29
  • UniFi Access Intercom Viewer até a versão 1.3.20

Esses dispositivos são amplamente utilizados em sistemas de controle de acesso corporativos, e normalmente estão conectados à rede interna, o que eleva ainda mais o risco de comprometimento sistêmico.

Impactos potenciais

Caso explorada, a CVE-2025-27212 pode ter consequências severas. Invasores podem desbloquear portas sem autorização, inserir credenciais persistentes, manipular ou apagar logs de acesso, implantar backdoors para controle remoto dos dispositivos e até desativar recursos de videomonitoramento.

Além disso, a falha pode ser explorada como ponto de entrada para movimentação lateral dentro da rede corporativa, permitindo que o atacante comprometa outros ativos conectados.

Como a falha pode ser explorada por meio da internet e sem qualquer interação prévia, o cenário se torna ainda mais preocupante. Ferramentas como Shodan e Censys já detectaram milhares de dispositivos UniFi expostos publicamente, o que pode facilitar ataques automatizados em larga escala.

Atualizações e correções disponíveis

A Ubiquiti reagiu prontamente e disponibilizou novas versões de firmware para todos os dispositivos afetados. As versões corrigidas são:

  • Reader Pro: versão 2.15.9 ou superior
  • G2 Reader Pro: 1.11.23 ou superior
  • G3 Reader Pro: 1.11.22 ou superior
  • Intercom e G3 Intercom: 1.8.22 ou superior
  • Intercom Viewer: 1.4.39 ou superior

A atualização deve ser aplicada com urgência, especialmente em ambientes sensíveis ou com dispositivos expostos à internet.

Medidas recomendadas

Para além da atualização, é essencial implementar práticas de contenção e mitigação. A rede de gerenciamento dos dispositivos UniFi deve ser segmentada da rede principal, minimizando riscos em caso de comprometimento. Recomenda-se também revisar os logs de acesso dos dispositivos antes e depois da atualização, a fim de identificar possíveis indícios de exploração.

Auditorias de integridade nos dispositivos são altamente indicadas, especialmente em ambientes de alta criticidade. Isso inclui verificar hashes de firmware, processos ativos e conexões remotas não autorizadas.

Também é importante reforçar o monitoramento contínuo com ferramentas de detecção de intrusão (IDS/IPS) e sistemas de SIEM capazes de identificar padrões incomuns de acesso ou execução de comandos.

This post is also available in: Português