CISA meldet aktive Angriffe auf kritische Lücke in Lantronix EDS5000

Zusammenfassung

Die US-Behörde CISA warnt vor der aktiven Ausnutzung einer kritischen Schwachstelle in Geräten der Lantronix-EDS5000-Serie. Betroffen ist CVE-2025-67038 mit einem CVSS-Wert von 9,8. Nach Angaben der Behörde sollen Behörden der Federal Civilian Executive Branch die verfügbaren Korrekturen bis zum 26. Juni 2026 einspielen. Die Lücke ermöglicht eine Code-Injektion, die zur Ausführung beliebiger Befehle mit erhöhten Rechten führen kann. Laut der Beschreibung auf CVE.org führt das HTTP-RPC-Modul beim Fehlschlag der Benutzerauthentifizierung einen Shell-Befehl zum Schreiben von Protokollen aus. Dabei wird der Benutzername ohne Bereinigung direkt an den Befehl angehängt, sodass Angreifer über den Parameter beliebige Betriebssystembefehle einschleusen können. Diese Befehle laufen mit Root-Rechten. Details dazu, wie die Schwachstelle aktuell ausgenutzt wird oder wer hinter den Angriffen steckt, liegen nach dem Quelltext bislang nicht vor.

CISA hat die Warnung am Dienstag veröffentlicht und die Schwachstelle in der Lantronix-EDS5000-Serie als aktiv ausgenutzt eingestuft. Im Mittelpunkt steht CVE-2025-67038, eine als kritisch bewertete Code-Injection-Lücke mit einem CVSS-Score von 9,8.

Die technische Ursache ist laut CVE.org im HTTP-RPC-Modul zu finden. Wenn die Authentifizierung eines Benutzers fehlschlägt, setzt das Modul einen Shell-Befehl zum Schreiben von Protokollen ab. Weil der Benutzername dabei ohne jede Bereinigung direkt in den Befehl übernommen wird, können Angreifer über dieses Feld beliebige Betriebssystembefehle einschleusen. Die eingeschleusten Befehle werden mit Root-Rechten ausgeführt.

Offengelegt wurde die Schwachstelle im April 2026 von Forescout Research Vedere Labs. Sie war Teil eines größeren Pakets von Schwachstellen mit dem gemeinsamen Codenamen BRIDGE:BREAK, das serielle-zu-IP-Konverter von Lantronix und Silex betraf. Konkrete Informationen zur aktuellen Ausnutzung von CVE-2025-67038 gibt es bislang nicht; laut Quelltext ist weder bekannt, auf welche Weise die Angriffe erfolgen, noch wer sie durchführt.

Parallel dazu hat CISA auch die aktive Ausnutzung von drei Schwachstellen mit maximalem Schweregrad in Ubiquity UniFi OS bestätigt. Die Bestätigung erfolgte nur wenige Tage, nachdem Defused Cyber nach eigenen Angaben Angriffe in freier Wildbahn beobachtet hatte, bei denen eine Kette zur Remotecodeausführung aus CVE-2026-34908, CVE-2026-34909 und CVE-2026-34910 zum Verteilen verbreiteter Schadsoftware missbraucht wurde.

Anfang dieses Monats beschrieb Bishop Fox einen Proof of Concept, der die drei UniFi-OS-Schwachstellen verknüpft. Mit dieser Kette lässt sich laut Bishop Fox mit einer einzigen Anfrage eine Reverse Shell mit vollständigen Root-Rechten erlangen. Ubiquiti hatte Patches für die Lücken bereits Ende des vergangenen Monats veröffentlicht.

Das belgische Centre for Cybersecurity erklärte, die Schwachstellen könnten es entfernten Angreifern ermöglichen, unbefugte Systemänderungen vorzunehmen, auf sensible Dateien zuzugreifen, Informationen offenzulegen oder beliebige Befehle auf verwundbaren Systemen auszuführen. Das beeinträchtige Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Geräte erheblich. Weiter hieß es, dass UniFi-OS-Geräte oft zentral in Netzwerke eingebunden seien, sodass eine erfolgreiche Kompromittierung Seitwärtsbewegungen und eine weitergehende Kompromittierung des Netzwerks ermöglichen könne.

CISA meldet aktive Angriffe auf kritische Lücke in Lantronix EDS5000

Ähnliche Artikel

Neueste Artikel