Ubiquitiの重大な脆弱性3件が攻撃で悪用される：CISAがKEVカタログに追加（CVE-2026-34909他）

Ubiquitiの重大な脆弱性3件が攻撃で悪用される：CISAがKEVカタログに追加（CVE-2026-34908、CVE-2026-34909他）

BleepingComputer – June 24, 2026

米CISAは6月23日、攻撃での悪用が確認されたとしてUbiquity UniFi OSの脆弱性3件とLantronix EDS5000の脆弱性1件をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加。連邦政府機関に対し、3日以内のセキュリティアップデート適用を命じた。

今回追加されたUbiquity UniFi OSの脆弱性は以下の3件。

• CVE-2026-34908：アクセス制御回避の脆弱性。認証されていない攻撃者にUniFi OSシステムへの不正な変更を加えられる恐れがあり、システムの完全な侵害につながる可能性がある。
• CVE-2026-34909：パストラバーサルの脆弱性。攻撃者に基盤となるOS上の機微なファイルへアクセスされる恐れがあり、構成設定ファイルや認証情報その他の機微なデータの漏洩につながる可能性がある。
• CVE-2026-34910：不適切な入力検証の脆弱性。攻撃者に任意のOSコマンドを注入・実行される恐れがあり、リモートコード実行およびシステムの完全な乗っ取りにつながる可能性がある。

Ubiquitiがこれらの脆弱性に対するセキュリティアップデートをリリースしたのは5月だが、6月にはBishop Foxが、3件を連鎖させて昇格済みの権限でリモートコード実行を行うことが可能である旨を実証。自身のインスタンスがこのRCEチェーンに脆弱かどうかを調べるための検知用スクリプトを無料公開していた。

関連記事：UniFi OSの重大な脆弱性により、認証なしでrootを取得することが可能に（CVE-2026-34908、CVE-2026-34909、CVE-2026-34910）

CISAはこれらの脆弱性を悪用した攻撃の詳細を共有しておらず、ランサムウェア攻撃で使用されたかどうかは不明である点のみを明かしている。

一方で、同じく23日にKEVカタログに追加されたLantronix製サーバーの脆弱性はCVE-2025-67038。rootレベルのコマンドインジェクションの脆弱性で、ファームウェア2.1.0.0R3を使用するEDS5000が影響を受ける。攻撃者による任意のOSコマンドの注入を可能にする恐れがあり、深刻度は「Critical」と評価されている。

LantronixはCVE-2025-67038に対するパッチをリリース済みで、ユーザーにはEDS5000バージョン2.2.0.0R1へのアップデートが推奨されている。この脆弱性についてもCISAは攻撃の詳細を明かしておらず、ランサムウェア攻撃で使用されたか否かは不明であることのみ共有した。

これらの製品を管理するシステム管理者には、できる限り早くアップデートを適用するか、推奨されている緩和策を適用することが求められる。

新たなRAT「Mistic」、ランサムウェアグループと提携する初期アクセスブローカーに関連か

SecurityWeek – June 24, 2026

2026年4月からサイバー犯罪者による侵入行為で使用され始めた比較的新しいリモートアクセス型トロイの木馬（RAT）「Backdoor.Mistic」は、初期アクセスブローカー「KongTuke」と関連している可能性があるという。シマンテックとCarbon Blackの脅威ハンターチームが報告した。

Misticは、Zscalerによって初めて文書化されたバックドアで、「MLTBackdoor」とも呼ばれる。DLLサイドローディングによって展開され、その際正規のファイル「MpExtMs.exe」を通じ、マイクロソフトのエンドポイントセキュリティツールに関連するファイル名を持つDLL「EndpointDlp.dll」からロードされるため、信頼されたソフトウェアに紛れ込むことが可能になっているという。

このバックドアは、ファイルのダウンロード・アップロードや改変、フォルダー作成、コード実行など。また、ディスクにファイルを書き込むことなくメモリ上でペイロードを実行し、自身を削除できるキルスイッチを備える。これらは、長期間検知を掻い潜ることのできるアクセスを求める攻撃者の行動パターンと一致する特徴だという。

シマンテックによれば、MisticはKongTukeと関連している可能性があり、同バックドアが使用されたある侵入ケースにおいては、KongTukeのRATとして知られるModeloRATも関与していたとされる。またKongTukeがマルウェア配布のために使う手段にはClickFixやFileFix、CrashFixといったソーシャルエンジニアリング手法を用いるが、Zscalerは過去の報告において、MisticもClickFix感染チェーンで配布されていたと述べている。この共通点も、確度は低いながらも同バックドアとKongTukeの結びつきを示唆する手がかりの1つとなっているという。

KongTukeは遅くとも2024年5月から活動している脅威アクターで、「Woodgnat」とも呼ばれる。QilinやInterlock、Rhysida、Akira、8Base、Black Bastaといったランサムウェアグループとつながっており、初期アクセスブローカーとしてこうしたグループに協力しているものとみられている。

KongTukeによるものと思われるMisticの展開を伴う攻撃では、CurlやReg.exe、Net（net.exe）、PowerShell、Certutil、WMIC（Windows Management Instrumentation）などのツールの使用も観測された。これらは、データ抽出やレジストリの改変、ネットワークリソース管理、コマンド実行、偵察、ラテラルムーブメント、ファイルのダウンロード、ブラウザ証明書のインストールなどを行うための手段となっているとされる。

Misticに関するIoCは、シマンテックおよびZscalerのブログ記事で確認できる。