出典: Security NEXT – https://www.security-next.com/176655
UniFi Access管理APIに認証不備の深刻な脆弱性が発見
Ubiquiti社の入退室管理製品「UniFi Access」において、認証が不十分な管理APIの脆弱性が明らかになりました。本脆弱性は管理ネットワークにアクセス可能な攻撃者が認証なしにAPIを操作できるもので、非常に危険な問題です。
主要なポイント
- 脆弱性の内容:管理APIに認証不備があり、管理ネットワーク内から認証なしでアクセス可能。
- 影響範囲:UniFi Access Application バージョン3.3.22から3.4.31までが対象。
- 脆弱性識別番号:CVE-2025-52665として登録されている。
- 危険度評価:CVSSv3.1で最高スコアの10.0、重要度は「クリティカル(Critical)」。
- 対策:Ubiquitiはバージョン4.0.21で修正を行い、最新版へのアップデートを推奨。
技術的な詳細と背景
「UniFi Access」は企業や施設のドア入退室を管理するソフトウェアで、管理APIを通じて設定変更やログ取得などを行います。今回の脆弱性は、APIへのアクセス時に本来必要な認証処理が適切に実装されていなかったことに起因します。つまり、管理ネットワークに接続できる攻撃者は、パスワードやトークンなどの認証情報を提示せずにAPIを操作できてしまいます。
この種の認証不備は、内部ネットワークに侵入した攻撃者が管理権限を奪取し、入退室記録の改ざんや不正なアクセス許可の付与などを行うリスクが高まります。CVSS(共通脆弱性評価システム)v3.1におけるスコア10.0は、最も深刻な脆弱性を示します。
影響と重要性
入退室管理システムは物理的なセキュリティの根幹を担うため、この脆弱性の悪用は施設の安全性を著しく損ないます。攻撃者が不正にドアの開閉を制御したり、入退室履歴を改ざんすることで、内部犯行の隠蔽や不正侵入が容易になります。
また、管理APIが認証なしで操作可能なことは、ネットワーク内部に侵入した攻撃者の権限昇格を助長し、さらなるシステム侵害や情報漏洩の足がかりとなる恐れがあります。
まとめ
UniFi Accessの管理APIにおける認証不備の脆弱性「CVE-2025-52665」は、管理ネットワークにアクセスできる攻撃者が認証なしにAPIを操作できる深刻な問題です。影響を受けるバージョンを利用している場合は、速やかにUbiquitiの提供する修正版(4.0.21以降)へアップデートすることが強く推奨されます。
物理セキュリティとITセキュリティは密接に関連しているため、入退室管理製品の脆弱性対策は組織の安全確保において非常に重要です。常に最新の状態を保ち、脆弱性情報に注意を払うことが求められます。
