CVE-2025-67038 betrifft Lantronix EDS5000 Serial-to-IP Device Server. Nach Beschreibung im Quelltext kann ein Angreifer ohne Anmeldung über einen Benutzernamen-Parameter beliebige Betriebssystembefehle einschleusen. Diese laufen anschließend mit Root-Berechtigungen. CISA stuft die Lücke als aktiv ausgenutzt ein und nahm sie am 23. Juni in den KEV-Katalog auf.

Die Schwachstelle ist Teil von BRIDGE:BREAK, einem von Forescout im April veröffentlichten Forschungspaket zu insgesamt 20 Schwachstellen in Serial-to-IP-Produkten von Lantronix und Silex. Die Forscher demonstrierten, dass sich solche Schwachstellen in Industrie- und Gesundheitsumgebungen missbrauchen lassen, um Sensorwerte zu manipulieren und dadurch gefährliche Zustände zu verbergen, die sonst menschliches Eingreifen auslösen würden. Zudem zeigten sie mögliche Störungen in Gesundheitsumgebungen durch bösartige Firmware.

Öffentliche Berichte, die konkrete Angriffe auf Basis von CVE-2025-67038 beschreiben, lagen zunächst offenbar nicht vor. Unklar blieb daher zunächst auch, ob die beobachteten Attacken auf industrielle, medizinische oder andere OT-Umgebungen zielten. Lantronix reagierte laut SecurityWeek nicht auf eine Anfrage zur aktiven Ausnutzung der Schwachstelle.

Ein Update brachte dann zusätzliche Details von Forescout. Die Forscher beobachteten die Ausnutzung von CVE-2025-67038 am 5. April in einem Honeypot mit einem Lantronix EDS5000. Das geschah nach Veröffentlichung eines Patches durch Lantronix, aber noch bevor Forescout technische Details zu BRIDGE:BREAK publik machte. Für die Forscher deutet das darauf hin, dass die Angreifer den Patch möglicherweise rückentwickelt haben, um einen Exploit zu entwickeln.

Nach Angaben von Forescout umfasste die Aktivität automatisierte Tests zur Befehlsinjektion sowie ein Lantronix-spezifisches Fingerprinting. Das spreche dafür, dass die Angreifer genau wussten, worauf sie zielten. Die Forscher fanden außerdem, dass das beobachtete Verhalten nicht zu einem typischen Botnetz oder einem breit angelegten Schwachstellenscanner passte.

Das Sicherheitsunternehmen Aviatrix beschrieb ein mögliches Angriffsszenario für CVE-2025-67038. Sobald Angreifer über die Lücke Code mit Root-Rechten ausführen, könnten sie die vollständige Kontrolle über das Gerät erlangen. Aviatrix erklärte dazu, das kompromittierte Gerät diene als Ausgangspunkt für seitliche Bewegungen im Netzwerk, um weitere verbundene Systeme anzugreifen. Außerdem könnten Angreifer einen Kommando-und-Kontroll-Kanal einrichten, um das kompromittierte Gerät aus der Ferne zu steuern und weitere Befehle auszugeben.

Aviatrix ergänzte, dass über das kompromittierte Gerät sensible Daten aus dem Netzwerk abgezogen und Netzwerkabläufe durch veränderte Konfigurationen oder den Einsatz von Schadsoftware gestört werden könnten. Dabei handelt es sich jedoch um ein mögliches Szenario des Unternehmens, nicht um eine Beschreibung bestätigter Vorfälle.

Zusätzliche Einordnung liefert ZoomEye: Der Dienst zeigt Tausende aus dem Internet erreichbare Lantronix-Systeme, die mehrheitlich in den Vereinigten Staaten stehen. Dabei sind allerdings sämtliche Lantronix-Produkte erfasst; wie viele davon tatsächlich für Angriffe über CVE-2025-67038 anfällig sind, bleibt unklar.