Root sur UniFi OS et les serveurs Lantronix, sans authentification
Ubiquiti UniFi OS et Lantronix EDS5000 entrent au KEV de CISA le 23 juin avec des failles root non authentifiées. Copy Fail (CVE-2026-31431) touche aussi l'OT B&R. Corrigez vite.
Si vous utilisez Ubiquiti UniFi OS ou un serveur de console série Lantronix EDS5000, un attaquant peut en prendre le contrôle sans mot de passe. Le 23 juin 2026, CISA a ajouté quatre de ces failles à son catalogue des vulnérabilités activement exploitées (KEV) et fixé au 26 juin la date limite de correction pour les agences fédérales. Le même jour, B&R a confirmé que ses automates industriels embarquent un noyau Linux porteur de Copy Fail (CVE-2026-31431), une élévation de privilèges locale présente au KEV depuis le 1er mai. Cet article couvre les cinq failles, ce qui est exposé, et l’ordre des correctifs.
Les cinq failles en bref
| CVE | Produit | Faille | CVSS | EPSS (23 juin) | Au KEV |
|---|---|---|---|---|---|
| CVE-2026-34908 | Ubiquiti UniFi OS | Contrôle d’accès incorrect | 10.0 | 0,9 % | 23 juin |
| CVE-2026-34909 | Ubiquiti UniFi OS | Traversée de répertoire | 10.0 | 0,9 % | 23 juin |
| CVE-2026-34910 | Ubiquiti UniFi OS | Injection de commande | 10.0 | 33,6 % | 23 juin |
| CVE-2025-67038 | Lantronix EDS5000 | Injection de commande OS (root) | 9.8 | 0,5 % | 23 juin |
| CVE-2026-31431 | Noyau Linux (Copy Fail) | Élévation de privilèges locale | 7.8 | 96,8 % | 1er mai |
Les scores CVSS viennent du NVD, l’EPSS de FIRST (lu le 23 juin 2026), le statut KEV et les dates de CISA. Les trois failles UniFi OS sont accessibles par le réseau et ne demandent aucun identifiant. La faille Lantronix est une exécution de code à distance en tant que root, sans authentification. Copy Fail exige d’abord un accès local, d’où une sévérité plus basse mais un EPSS très élevé : un exploit public transforme n’importe quel shell peu privilégié en root.
Suis-je concerné ?
Ubiquiti UniFi OS (CVE-2026-34908, CVE-2026-34909, CVE-2026-34910)
D’après le Security Advisory Bulletin 064 d’Ubiquiti, les versions vulnérables sont :
- UniFi OS Server avant 5.0.8
- UDM, UDM-Pro, UDM-SE, UDM-Pro-Max et la plupart des passerelles, plus UNVR, avant le firmware 5.1.12
- UDM-Beast avant 5.1.11
- UniFi Express avant 4.0.14
Les trois failles ont un score CVSS de 10.0. Le contrôle d’accès et la traversée de répertoire peuvent être chaînés pour contourner l’authentification, après quoi l’injection de commande exécute le code de l’attaquant en root. Tout contrôleur UniFi joignable depuis un réseau non fiable est concerné.
Lantronix EDS5000 (CVE-2025-67038)
Les serveurs de console série-IP EDS5000, EDS5008, EDS5016 et EDS5032 en firmware 2.1.0.0R3 sont affectés. Le module HTTP RPC construit une commande shell à partir du nom d’utilisateur soumis lors d’un échec de connexion, sans le nettoyer : un attaquant non authentifié peut donc injecter des commandes OS exécutées en root (CVSS 9.8). C’est l’une des failles BRIDGE:BREAK divulguées cette année sur les convertisseurs série-IP Lantronix et Silex.
Produits B&R et Copy Fail (CVE-2026-31431)
L’avis CISA ICSA-26-174-06 confirme que ces gammes B&R embarquent des noyaux Linux affectés :
- Linux for B&R version 12 et antérieures
- APROL avant APROL-AutoYaST-DVD-V4.4-010.10.260602
- X20EDS410 (toutes versions)
Copy Fail est une faille de l’interface crypto AEAD du noyau (algif_aead) qui permet une écriture déterministe dans le cache de pages, suffisante pour qu’un utilisateur local réécrive un binaire setuid et devienne root. B&R indique n’avoir aucune preuve d’exploitation active de ses produits à ce jour, mais la CVE sous-jacente est au KEV et un code d’exploitation public existe : traitez tout système Linux B&R partagé ou accessible par un opérateur comme exposé.
Que faire maintenant
Corrigez d’abord, n’appliquez des mesures d’atténuation que là où le correctif n’est pas encore possible.
UniFi OS
Passez à UniFi OS Server 5.0.8 ou plus, firmware 5.1.12 ou plus pour les passerelles et UNVR, 5.1.11 pour UDM-Beast, et 4.0.14 pour UniFi Express. Si la mise à jour est impossible tout de suite, retirez le contrôleur de toute interface exposée à Internet et limitez l’administration à un VLAN de confiance ou un VPN. La date limite KEV fédérale est le 26 juin 2026 : prenez-la comme votre propre plafond.
Lantronix EDS5000
Mettez le firmware de la série EDS5000 à jour vers 2.2.0.0R1, publié par Lantronix pour corriger CVE-2025-67038 et les autres failles BRIDGE:BREAK. En attendant, bloquez l’interface web de l’équipement depuis les réseaux non fiables et placez-le derrière une segmentation, car la faille est pré-authentification.
B&R
Installez la mise à jour APROL (APROL-AutoYaST-DVD-V4.4-010.10.260602) et appliquez les autres mises à jour de noyau B&R dès leur sortie. Comme l’exploitation exige un accès local, appliquez un contrôle d’accès strict sur chaque système Linux B&R : limitez les connexions interactives aux opérateurs de confiance, revoyez les permissions des comptes et désactivez les comptes inutilisés. B&R liste aussi des contournements testés dans l’avis pour les systèmes qui ne peuvent pas être corrigés immédiatement.
Comment ces failles sont exploitées
CISA n’ajoute une CVE au KEV qu’avec des preuves d’exploitation active : les quatre ajouts du 23 juin sont donc attaqués maintenant, pas en théorie. L’injection de commande UniFi OS (CVE-2026-34910) est déjà à 33,6 % d’EPSS, le plus fort bond des quatre, ce qui colle à une faille aux chemins d’attaque publics. Copy Fail est armé depuis le printemps : un court script bascule un binaire setuid pour obtenir root, d’où un EPSS proche de 97 %. Aucune source primaire n’a publié d’indicateurs reliant ces failles à un groupe de rançongiciel nommé à ce jour ; nous mettrons cet article à jour le cas échéant. Pour le détail le plus récent, partez des traqueurs primaires : les avis fournisseurs ci-dessus et les entrées KEV de CISA.
Comment VulnMonitor aide
Le plus dur lors d’une journée KEV multi-fournisseurs n’est pas le correctif, c’est de savoir lesquels de ces produits vous utilisez vraiment avant la date limite. VulnMonitor rapproche chaque CVE de votre inventaire d’actifs en direct : un contrôleur UniFi sur un ancien firmware, un EDS5000 encore en 2.1.0.0R3 ou un nœud B&R sur un noyau affecté ressort nommément, classé par statut KEV et EPSS. Il ne bloque pas l’attaque ; il vous dit où vous êtes exposé pour que le correctif batte l’horloge.
Mises à jour
- 23 juin 2026 : publication initiale couvrant les quatre nouveaux ajouts au KEV (Ubiquiti UniFi OS et Lantronix EDS5000) et l’avis B&R sur le noyau Linux pour Copy Fail.
Sources
- Ubiquiti Security Advisory Bulletin 064 ↗
- CISA ICS Advisory ICSA-26-069-02 (Lantronix EDS3000PS et EDS5000) ↗
- CISA ICS Advisory ICSA-26-174-06 (impact du noyau Linux sur les produits B&R) ↗
- CISA ajoute quatre failles au KEV (23 juin 2026) ↗
- Catalogue CISA des vulnérabilités activement exploitées (KEV) ↗
- NVD CVE-2026-34908 detail ↗
- NVD CVE-2026-34909 detail ↗
- NVD CVE-2026-34910 detail ↗
- NVD CVE-2025-67038 detail ↗
- NVD CVE-2026-31431 detail ↗
- FIRST EPSS ↗
Continuer la lecture
Qu'est-ce qu'une CVE ? Définition, format des identifiants et bons réflexes
Ce qu'est une CVE, qui attribue les identifiants, comment lire la numérotation et comment agir face aux 40 000+ publiées chaque année. Guide en langage clair.
CVSS vs EPSS vs KEV : comment prioriser les CVE qui comptent
CVSS vs EPSS vs KEV : trois signaux qui classent les vulnérabilités différemment. Pourquoi CloudKey patche KEV d'abord, EPSS ensuite, CVSS en dernier.
Des attaquants exploitent Cisco SD-WAN Manager et le plugin LiteSpeed cPanel
Des attaquants exploitent Cisco SD-WAN Manager (CVE-2026-20262) et le plugin LiteSpeed cPanel (CVE-2026-54420), ajoutés au KEV de CISA le 15 juin 2026. Corrigez vite.