CISA warnt vor aktiver Ausnutzung kritischer Schwachstellen in Ubiquiti UniFi OS und Lantronix EDS5000

Zusammenfassung

Die US-Behörde CISA warnt vor laufenden Angriffen, bei denen Schwachstellen in Ubiquiti UniFi OS sowie in Lantronix-Servern für die serielle Ethernet-Anbindung ausgenutzt werden. Nach der Richtlinie BOD 26-04 haben Bundesbehörden drei Tage Zeit, verfügbare Sicherheitsupdates oder vom Hersteller empfohlene Gegenmaßnahmen einzuspielen. Im Fokus stehen drei bereits im Mai gepatchte Lücken in Ubiquiti UniFi OS sowie die als CVE-2025-67038 geführte Schwachstelle in Lantronix EDS5000-Systemen. CISA hat alle vier Einträge in seinen Katalog der bekannt ausgenutzten Schwachstellen aufgenommen. Details zu den beobachteten Angriffen nennt die Behörde nicht. Auch das Kennzeichen zur Nutzung in Ransomware-Kampagnen steht bei allen vier Einträgen auf „Unbekannt“.

CISA hat vor aktiver Ausnutzung von Schwachstellen in zwei Produktreihen gewarnt: betroffen sind Ubiquiti UniFi OS und Lantronix-Server für die serielle Ethernet-Anbindung. Grundlage ist die Richtlinie BOD 26-04, nach der US-Bundesbehörden binnen drei Tagen verfügbare Patches oder empfohlene Abhilfemaßnahmen umsetzen müssen.

Bei Ubiquiti hat CISA drei Schwachstellen in den Katalog der Known Exploited Vulnerabilities aufgenommen. Ubiquiti hatte dafür bereits im Mai Sicherheitsupdates veröffentlicht und darauf hingewiesen, dass sie sich aus der Ferne und ohne Berechtigungen ausnutzen lassen.

Forscher von Bishop Fox zeigten später, dass sich die drei Ubiquiti-Lücken zu einer Angriffskette kombinieren lassen, um auf anfälligen UniFi-OS-Geräten vollständige Remote-Code-Ausführung mit erhöhten Rechten zu erreichen. Bishop Fox hat zudem auf GitHub ein kostenloses Erkennungsskript veröffentlicht, mit dem Verteidiger verwundbare Instanzen in ihrer Umgebung aufspüren können.

Die bei Lantronix ausgenutzte Schwachstelle wird als CVE-2025-67038 geführt. Dabei handelt es sich um eine als kritisch eingestufte Root-Command-Injection, die das Modell EDS5000 mit der Firmware 2.1.0.0R3 betrifft.

Nach Angaben im Quelltext liegt der Fehler im HTTP-RPC-Modul, das zum Protokollieren fehlgeschlagener Authentifizierungsversuche einen Shell-Befehl ausführt. Der übergebene Benutzername wird dabei ohne ausreichende Bereinigung direkt an den Shell-Befehl angehängt. Dadurch kann ein Angreifer beliebige Betriebssystembefehle einschleusen.

Lantronix hat für CVE-2025-67038 einen Patch veröffentlicht und empfiehlt Nutzern den Umstieg auf EDS5000 Version 2.2.0.0R1.

Zu den beobachteten Angriffen selbst hat CISA keine weiteren Details veröffentlicht. Auch beim Feld zur „Nutzung in Ransomware-Kampagnen“ nennt die Behörde bei allen vier Schwachstellen keinen bestätigten Zusammenhang; der Status steht jeweils auf „Unbekannt“.

Für Administratoren, die die genannten Produkte betreiben, verweist der Quelltext auf die verfügbaren Updates und die von den Herstellern vorgeschlagenen Gegenmaßnahmen.

CISA warnt vor aktiver Ausnutzung kritischer Schwachstellen in Ubiquiti UniFi OS und Lantronix EDS5000

Ähnliche Artikel

Neueste Artikel