#Netzwerk & Sicherheit · 4 Min. Lesezeit · Tim Rinkel

UNIFI-ALARM! Kritische Lücken reissen JETZT deine UDM auf — Sicherheits-Update SOFORT einspielen

UNIFI-ALARM! Kritische Lücken reissen JETZT deine UDM auf — Sicherheits-Update SOFORT einspielen

Wer sein Heimnetz mit Ubiquiti-Hardware aufgebaut hat, sollte den Kaffee jetzt schnell trinken. Ubiquiti hat am 22. Mai das Security Advisory Bulletin 064 veröffentlicht — und darin steckt geballter Sprengstoff: gleich fünf Sicherheitslücken in UniFi OS, von denen eine den maximal möglichen Schweregrad CVSS 10.0 erreicht. Keine Panik, aber auch kein Aufschieben: Wir erklären dir ruhig, was los ist und wie du dein Netz heute absicherst.

SCHOCK: Eine Lücke mit dem Höchstwert 10.0

Das Bulletin listet die Hauptlücke CVE-2026-33000 plus vier verwandte Schwachstellen (CVE-2026-34908, -34909, -34910, -34911). Eine dieser Lücken trägt einen CVSS-v3.1-Score von 10.0 — das ist die Höchstpunktzahl, die eine Sicherheitslücke überhaupt bekommen kann. Solche Bewertungen vergeben Forscher nur dann, wenn ein Angreifer ohne Anmeldung, aus der Ferne und mit voller Wirkung zuschlagen kann. Bei einem Gerät, das an der Außengrenze deines Netzes sitzt, ist das die unangenehmste Vorstellung überhaupt.

CVE-2026-33000: Befehle einschleusen per Netzwerkzugriff

Die namensgebende Lücke CVE-2026-33000 ist eine Improper Input Validation (zu Deutsch: mangelhafte Prüfung von Eingaben) und kommt auf CVSS 9.1. Über sie kann ein Angreifer mit Netzwerkzugriff und erhöhten Rechten beliebige Befehle auf dem Gerät ausführen. Wichtig für die Einordnung: Diese Lücke dient laut Analyse vor allem als Verankerung nach einem ersten Einbruch — also dazu, sich festzusetzen, wenn bereits ein Admin-Zugang gekapert wurde. Entdeckt wurde sie vom Sicherheitsforscher mit dem Handle V3rlust.

WER ist betroffen?

Die Liste der verwundbaren Geräte ist lang — und sie trifft genau das, was viele Homelab- und Prosumer-Setups im Schrank haben:

  • UDM-Serie (Dream Machine, Pro, SE, Pro Max), UDR, UCG und UCG-Industrial
  • UNVR und ENVR (die Netzwerk-Videorekorder)
  • UniFi OS Server (die selbstgehostete Variante)
  • Die UDM-Beast ist über Version 5.1.8 verwundbar

Klartext: Wenn dein Internet-Gateway oder dein Kamera-Rekorder von Ubiquiti kommt, stehen die Chancen hoch, dass du auf der Liste stehst.

So schließt du die Lücken in 5 MINUTEN

Die gute Nachricht: Ubiquiti hat die Fixes bereits fertig. Du musst nur updaten:

  • UDM-Serie, UDR, UNVR, ENVR, UCG, UCG-Industrial: auf UniFi OS 5.1.12 oder neuer.
  • UniFi OS Server: auf 5.0.8 oder neuer.
  • UDM-Beast: auf 5.1.11 oder neuer.

Den Update-Knopf findest du im UniFi-OS-Dashboard unter „Updates“ bzw. in der UniFi-App. Achtung: Das Update wird gestaffelt ausgerollt — taucht es bei dir noch nicht auf, kannst du es nach kurzer Wartezeit erneut prüfen oder die Firmware manuell laden. Plane einen kurzen Neustart ein, in dem das Netz für ein, zwei Minuten weg ist.

EXTRA-TIPP: Management-Zugang gehört nicht ins Internet

Auch wenn die akute Gefahr mit dem Update gebannt ist — zieh die generelle Lehre daraus: Die Verwaltungsoberfläche deiner Netzwerkgeräte hat im offenen Internet nichts verloren. Nutze für den Fernzugriff lieber das integrierte UniFi-VPN (WireGuard/Teleport) statt portweiterleiteter Admin-Logins. Aktiviere außerdem automatische Updates für Sicherheits-Patches, damit du beim nächsten Bulletin nicht erst aus den News davon erfährst. So eine Routine spart dir genau diese Art von Stress-Morgen.

FAZIT: Klein im Aufwand, groß im Effekt

Ein paar Klicks, ein kurzer Reboot — und fünf kritische Lücken sind Geschichte. Bei einer Schwachstelle mit CVSS 10.0 an deinem Gateway lohnt sich kein Zögern. Öffne jetzt das UniFi-Dashboard und prüfe deine Version.

Häufige Fragen

Welche Geräte und Versionen sind von Bulletin 064 betroffen?
Betroffen sind die UDM-Serie (inkl. Pro, SE, Pro Max), UDR, UNVR, ENVR, UCG und UCG-Industrial sowie der UniFi OS Server. Diese Modelle sollten auf UniFi OS 5.1.12 (Server: 5.0.8) updaten. Die UDM-Beast ist über Version 5.1.8 verwundbar und braucht mindestens 5.1.11.
Wie gefährlich ist CVE-2026-33000 wirklich?
CVE-2026-33000 ist eine Command-Injection-Lücke mit CVSS 9.1. Sie erfordert Netzwerkzugriff und erhöhte Rechte und dient vor allem als Persistenz- bzw. Privilege-Escalation-Mechanismus nach einem ersten Einbruch. Brisanter ist eine verwandte Lücke aus demselben Bulletin mit CVSS 10.0, die unauthentifiziert ausgenutzt werden kann.
Wie merke ich, ob mein Gerät verwundbar ist?
Öffne das UniFi-OS-Dashboard und schau unter „Updates“ nach deiner installierten Version. Liegt sie unterhalb der genannten Fix-Versionen (5.1.12 bzw. 5.0.8 beim Server), gilt dein Gerät als verwundbar. Ubiquiti listet im Bulletin 064 für jedes Modell die genaue sichere Version.
Gab es schon aktive Angriffe?
Zum Zeitpunkt der Veröffentlichung sind keine bestätigten Massenangriffe öffentlich. Bei Lücken mit CVSS 10.0 an internetnahen Geräten ist das Zeitfenster bis zu ersten Exploits aber erfahrungsgemäß kurz. Deshalb gilt: zeitnah updaten, nicht auf einen Vorfall warten.
Sollte ich automatische Updates aktivieren?
Für Sicherheits-Patches ja. UniFi OS kann Firmware-Updates automatisch einspielen. Gerade bei Gateways und Rekordern, die rund um die Uhr am Netzrand hängen, ist das sinnvoll — so bist du beim nächsten Bulletin abgesichert, ohne manuell eingreifen zu müssen.

Quellen:
Ubiquiti Security Advisory Bulletin 064 ·
ToolsLib Blog ·
SecurityOnline ·
Cyber Security News
Stand: 23.05.2026. Genaue Fix-Versionen pro Modell bitte im Ubiquiti-Bulletin gegenprüfen.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert