Das Gerät, das eigentlich schützen soll

In vielen kleinen Büros steht im Serverschrank oder neben dem Anschluss ein Gerät von Ubiquiti — eine UniFi Dream Machine, ein Cloud Gateway, dazu ein paar Switches und Access Points. Diese Hardware bildet das Rückgrat des Netzwerks: Sie verbindet alle Rechner mit dem Internet, trennt Bereiche voneinander und soll unerwünschten Zugriff abhalten. Genau deshalb wiegt es schwer, wenn ausgerechnet dieses Gerät zur offenen Tür wird.

Ende Mai 2026 hat Ubiquiti Sicherheitsupdates für sein Betriebssystem UniFi OS veröffentlicht. Sie schließen drei Schwachstellen, die jeweils mit dem Höchstwert auf der Schweregrad-Skala bewertet sind — und die bereits vor der Verfügbarkeit der Updates ausgenutzt wurden. Dieser Beitrag erklärt, worum es geht, warum Netzwerk-Hardware ein so unterschätztes Ziel ist, und in welcher Reihenfolge Sie jetzt vorgehen sollten.

Auf einen Blick

  • Die Lücken: CVE-2026-34908, CVE-2026-34909 und CVE-2026-34910 — die standardisierten Kennungen der drei Schwachstellen. Alle drei tragen den Höchstwert 10,0 von 10 auf der Schweregrad-Skala.
  • Betroffen: Geräte mit Ubiquiti UniFi OS — darunter die UniFi Dream Machine und UDM-Pro, Cloud Gateways sowie Switches und Access Points, die über die UniFi-OS- und Network-Verwaltung betrieben werden.
  • Die Wirkung: unauthentifiziert und netzwerkbasiert. Ein Angreifer benötigt weder Zugangsdaten noch ein Konto, um die volle Kontrolle über ein erreichbares Gerät zu erlangen.
  • Der Status: Die US-Behörde CISA hat alle drei Lücken am 23. Juni 2026 in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen. Sie wurden bereits als Zero-Day ausgenutzt, bevor die Updates verfügbar waren.
  • Die Abhilfe: auf die für Ihr Gerät bereitgestellte gepatchte UniFi-OS-Version aktualisieren. Ubiquiti hat die Updates Ende Mai 2026 veröffentlicht.

Was UniFi ist — und warum es so verbreitet steht

UniFi ist die Produktlinie von Ubiquiti für Netzwerktechnik: Router, Gateways, Switches und Access Points, die sich über eine gemeinsame Oberfläche zentral verwalten lassen. Genau dieser Komfort hat die Geräte in kleinen und mittleren Betrieben weit verbreitet. Man richtet das Netzwerk einmal über eine übersichtliche Verwaltung ein, sieht alle Geräte an einer Stelle und kommt ohne tiefes Spezialwissen aus. Für Büros ohne eigene IT-Abteilung ist das attraktiv — und führt dazu, dass diese Hardware oft jahrelang läuft, ohne dass jemand aktiv nach ihrem Software-Stand schaut.

Herzstück dieser Geräte ist UniFi OS, das Betriebssystem, auf dem die Verwaltung läuft. Die drei Schwachstellen stecken in diesem Betriebssystem. Praktisch bedeutet das: Ein Angreifer muss sich nicht anmelden und kein Passwort kennen. Über das Netzwerk kann er ein verwundbares Gerät vollständig unter seine Kontrolle bringen. Da dieses Gerät am Übergang zwischen Internet und Firmennetz sitzt, bleibt es nicht bei dem Gerät selbst: Von dort aus lässt sich tiefer ins interne Netz vordringen, lassen sich Datenströme mitlesen und Daten abziehen. Das Gerät, das den Verkehr eigentlich kontrollieren soll, wird so zum Ausgangspunkt für den Zugriff auf alles, was dahinterliegt.

Dass alle drei Lücken mit dem Höchstwert 10,0 bewertet sind, fasst diese Punkte zusammen: aus dem Netzwerk erreichbar, ohne Anmeldung ausnutzbar, mit weitreichender Wirkung. Entscheidend für den Zeitdruck ist jedoch, dass sie nicht theoretisch bestehen, sondern bereits genutzt werden. Auf kompromittierten Geräten tauchten unautorisierte Administrator-Konten auf — in mehreren Berichten unter dem Namen „John Sim". Mindestens eine Angriffswelle setzte zudem einen sogenannten Mirai-Loader ein: Schadsoftware, die exponierte Geräte in ein Botnet einbindet, also in einen ferngesteuerten Verbund, der für weitere Angriffe missbraucht wird. Ein übernommenes UniFi-Gerät ist damit nicht nur ein Problem für das eigene Netz — es kann unbemerkt Teil der Infrastruktur werden, mit der Angreifer andere Ziele attackieren.

Diese Kombination ist der Grund, warum die Updates dringlich sind. Solange eine Lücke nur beschrieben ist, bleibt Zeit. Sobald sie nachweislich in laufenden Angriffen verwendet wird — und die CISA-Aufnahme am 23. Juni 2026 dokumentiert genau das —, verschiebt sich die Frage von „ob" zu „wann". Angriffe auf erreichbare Netzwerk-Hardware laufen häufig automatisiert: Sie suchen das Internet eigenständig nach verwundbaren Geräten ab, unabhängig von Größe oder Bekanntheit des Betriebs dahinter.

Was Sie jetzt tun sollten

Wenn in Ihrem Netz UniFi-Hardware steht — selbst betrieben oder von einem Dienstleister betreut —, gehen Sie die folgenden Punkte der Reihe nach durch:

  • UniFi-OS-Stand feststellen. Klären Sie zuerst, welche UniFi-OS- beziehungsweise Firmware-Version auf Ihren Geräten läuft. Das lässt sich in der UniFi-Verwaltung ablesen. Diese Frage sollte sich innerhalb eines Tages beantworten lassen — und falls Sie sie nicht selbst beantworten können, ist genau das die erste Frage an Ihre IT oder Ihren Dienstleister.
  • Auf die gepatchte Version aktualisieren. Spielen Sie die für Ihr Gerät bereitgestellte gepatchte UniFi-OS-Version ein. Die passende Version ist geräteabhängig; in den Berichten genannt werden unter anderem UniFi OS Server 5.0.8 sowie geräteabhängige Builds wie 5.1.10 und 5.1.12. Maßgeblich ist immer das Update, das Ubiquiti für Ihr konkretes Modell ausweist. Warten Sie damit nicht auf das nächste reguläre Wartungsfenster — bei aktiv ausgenutzten Lücken zählt jeder Tag.
  • Die Verwaltung nicht offen ins Internet stellen. Die Verwaltungsoberfläche eines UniFi-Geräts gehört nicht ungeschützt ins öffentliche Internet. Prüfen Sie, ob der Zugang von außen erreichbar ist, und beschränken Sie ihn auf das interne Netz oder einen abgesicherten Verwaltungsweg. Das entzieht künftigen Angriffen die Angriffsfläche und ist neben dem Update die wirksamste Einzelmaßnahme.
  • Auf unbekannte Administrator-Konten prüfen. Sehen Sie in der Verwaltung nach, ob Administrator-Konten existieren, die zu keinem Mitarbeiter und keinem Dienstleister passen. Ein Konto mit dem Namen „John Sim" ist dabei ein bekannter Hinweis aus den Berichten — aber verlassen Sie sich nicht allein darauf: Jeder unerklärliche Zugang ist ein Anlass, genauer hinzusehen.
  • Im Verdachtsfall das Gerät prüfen lassen. Finden sich unbekannte Konten oder andere Auffälligkeiten, oder war die Verwaltung längere Zeit aus dem Internet erreichbar, dann reicht das Update allein nicht. Ein bereits kompromittiertes Gerät kann auch nach dem Aktualisieren manipuliert bleiben. Lassen Sie es in diesem Fall fachlich prüfen und im Zweifel sauber neu aufsetzen, statt sich auf das Update zu verlassen.

Fazit

Netzwerk-Hardware steht selten im Mittelpunkt der Aufmerksamkeit. Sie läuft, sie ist eingerichtet, und solange das Internet funktioniert, schaut kaum jemand nach ihr. Genau dieses Muster machen die drei UniFi-Lücken zum Problem: Das Gerät, das schützen soll, wird zum Einfallstor — und weil die Lücken bereits ausgenutzt werden, gehört die Reaktion nicht aufgeschoben. Router, Gateways, Switches und Access Points gehören in dasselbe Patch-Management wie Server und Arbeitsplätze, nicht in eine Ecke, an die niemand mehr denkt.

Wenn Sie nicht sicher sind, welche Netzwerkgeräte bei Ihnen im Einsatz sind oder ob sie auf einem aktuellen Stand laufen, sehen wir uns das gemeinsam an: Wir nehmen Ihre Hardware ins Inventar auf, halten ihren Software-Stand aktuell und behalten Warnungen wie diese im Blick — damit aus dem Gerät am Netzwerkrand kein stilles Einfallstor wird.