Ubiquity, yaygın olarak kullanılan video gözetim platformu UNIFI Protect’i etkileyen iki güvenlik açığını açıkladı. Şimdi CVE-2025-23123 tanımlayıcısına atanan kusurlardan biri, maksimum CVSS skoru 10.0 ile kritik olarak derecelendirildi. Her iki sorun da son ürün yazılımı ve uygulama güncellemelerinde ele alınmıştır ve şirket kullanıcıları bu yamaları gecikmeden yüklemeye çağırıyor.
Güvenlik açıkları, 6 Mayıs 2025’te Ubiquity tarafından yayınlanan Güvenlik Danışma Bülteni 047’de detaylandırılmıştır. Bültene göre, Ubiquity Unifi koruma sistemlerinin yönetim ağına erişen saldırganlar, kötü niyetli kodları yürütmek veya videoda kullanma işlemlerine bile izin verilmeyen erişimi sürdürebilir.
CVE-2025-23123: Kritik Uzaktan Kod Yürütme Güvenlik Açığı
İki sorunun daha şiddetli olan CVE-2025-23123, 4.75.43 ve önceki ürün yazılımı sürümünü çalıştıran UNIFI koruma kameralarını etkiler. Bu güvenlik açığı, dahili ağ erişimine sahip bir uzaktan saldırganın, yığın tabanlı bir arabellek taşmasını tetikleyerek keyfi kodun yürütülmesini sağlayan bir saldırganın. Kusur, uzaktan kod yürütme (RCE) tehdidi olarak sınıflandırılır ve kurumsal ortamlar için siber güvenlik riskleri oluşturmaktadır.
“Bu güvenlik açığı, düşük karmaşıklığı ve bundan yararlanmak için gereken kullanıcı etkileşiminin olmaması nedeniyle özellikle tehlikelidir” dedi.
Bu kusur için CVSS v3.0 vektörü AV: n/ac: l/pr: n/ui: n/s: c/c: h/i: h/a: h, bu da güvenlik açığının kimlik doğrulama veya kullanıcı müdahalesi olmadan ağ üzerinden kullanılabileceğini doğrular.
Kalıcı canlı akım erişimi
CVE-2025-23164 olarak tanımlanan ikinci güvenlik açığı, Ubiquity UniFi Protect Application sürüm 5.3.41 ve önceki her yerde etkiler. Bu kusur, bir kullanıcının orijinal “paylaşma canlı yayın” bağlantısı devre dışı bırakıldıktan sonra bir canlı akışa erişimi korumasına izin verebilecek yanlış yapılandırılmış bir erişim belirteci mekanizmasından kaynaklanır.
Bu güvenlik açığı, CVSS puanı 4.4 ile ortam olarak derecelendirilmesine rağmen, özellikle güvenlik kamerası erişimini paylaşan kullanıcılar için gizlilik ve gözetim endişeleri ortaya koymaktadır. Ubiquity, bu keşfi güvenlik araştırmacısı Mike S. Schonert ile ilişkilendirir ve sorunu UNIFI Protect uygulamasının 5.3.45 sürümünde çözdü.
Güncellemeler ve Düzeltmeler
Bu güvenlik açıklarını ele almak için UBiquity aşağıdaki güncellemeleri yayınlamıştır:
- UNIFI KAYDET KAMERLERİ 4.75.62: Bu güncelleme kritik RCE sorununu çözer ve G6 modelleri için gelişmiş konuşma geri dayanıklılığı ve daha doğru araç algılama gibi performans geliştirmeleri içerir. Hedef algılamadan sonra spot aktivasyonunda arızaya neden olan bir hata da sabitlendi.
- UNIFI Koruma Uygulaması 5.3.45: Güvenlik yamasının yanı sıra, bu sürüm bulut arşivleme UX, kapı zili ses kontrolleri ve bir AI bağlantı noktası yeniden başlatmasını takiben yanlış kamera yeniden atama için bir hata düzeltmesi içerir.
Bu iyileştirmelere rağmen, Ubiquity bilinen bir sorunu not etti: HDR engelli ayarlarda koridor modu akışı şu anda G5-Pro modellerinde çalışmıyor.
Kullanıcılar, her türlü UNIFI sistemlerini derhal güncellemeleri, özellikle de maruz kalan veya kısmen güvenli ağlara sahip olanlar, bunun gibi kritik güvenlik açıkları aracılığıyla kullanılabileceği ve saldırganların kötü amaçlı yazılım yüklemesine, yetkilendirilmemiş gözetim gerçekleştirmesine veya daha geniş ağ kaynaklarına erişmesine izin verebileceği için güçlü bir şekilde güncellenir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.