Un grupo de expertos de seguridad ha detectado una vulnerabilidad seria en el firmware de los dispositivos de red del fabricante Ubiquiti que podía permitir a un atacante hackear cualquier dispositivo de este fabricante utilizando tan solo una URL como vamos a ver a continuación. Igual que en otras ocasiones, esta vulnerabilidad fue detectada y reportada de manera privada al fabricante para poder acogerse al programa BugBounty que ofrecía el fabricante y, aunque al principio eran reacios a admitir el fallo, finalmente lo hicieron.

Sin embargo, después de que los responsables de Ubiquiti hayan aplazado, y finalmente cancelado el desarrollo de la actualización de firmware para solucionar este fallo de seguridad, los expertos de seguridad han decidido publicarla.
La vulnerabilidad se debe a que se utiliza una versión de PHP con 20 años de antigüedad

La vulnerabilidad que permite inyectar comandos en los dispositivos Ubiquiti se encuentra en el script pingtest_action.cgi. Este script es utilizado por PHP/FI 2.0.1, una versión que data ni más ni menos que de 1997. A través de esta vulnerabilidad, un atacante puede llegar a ejecutar comandos a través de interfaz de Administrador del dispositivo solo con añadirlos de una forma concreta en una URL.

De esta manera, si un atacante utiliza la ingeniería social para engañar a un usuario para abrir un enlace, automáticamente podrá tomar el control de estos.