CISA ostrzega przed aktywnie wykorzystywaną luką krytyczną w Lantronix EDS5000 - Security Bez Tabu

CISA ostrzega przed aktywnie wykorzystywaną luką krytyczną w Lantronix EDS5000

Cybersecurity news

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA ostrzegła przed aktywnym wykorzystywaniem podatności CVE-2025-67038 w urządzeniach Lantronix EDS5000. Jest to krytyczna luka typu command injection, która może umożliwić zdalne wykonanie dowolnych poleceń systemowych z uprawnieniami roota. Problem dotyczy komponentu HTTP RPC i stanowi poważne zagrożenie dla środowisk, w których serwery urządzeń szeregowych są wykorzystywane do integracji systemów przemysłowych, OT oraz starszej infrastruktury operacyjnej.

W skrócie

  • Podatność CVE-2025-67038 otrzymała ocenę CVSS 9.8.
  • Luka jest powiązana z potwierdzoną aktywną eksploatacją.
  • Problem występuje w urządzeniach Lantronix EDS5000.
  • Atak może prowadzić do zdalnego wykonania poleceń jako root.
  • CISA wyznaczyła termin działań naprawczych dla federalnych agencji cywilnych do 26 czerwca 2026 r.

Kontekst / historia

Znaczenie luki wzrosło po dodaniu jej do katalogu Known Exploited Vulnerabilities, co oznacza, że istnieją dowody na jej wykorzystanie w rzeczywistych atakach. Dla zespołów bezpieczeństwa taki wpis jest ważnym sygnałem priorytetyzacyjnym i zwykle oznacza konieczność natychmiastowego działania w obszarze zarządzania poprawkami oraz ekspozycją.

Podatność została również opisana w kontekście szerszego zestawu błędów BRIDGE:BREAK ujawnionych przez badaczy Forescout Research Vedere Labs. Badania koncentrowały się na urządzeniach serial-to-IP, które łączą starsze interfejsy szeregowe z nowoczesnymi sieciami Ethernet/IP. Tego rodzaju sprzęt często działa na styku IT i OT, dlatego jego przejęcie może mieć skutki wykraczające poza pojedyncze urządzenie i wpływać na procesy przemysłowe, automatykę oraz segmenty infrastruktury krytycznej.

Analiza techniczna

Sedno problemu tkwi w błędnej obsłudze danych wejściowych w module HTTP RPC. W scenariuszu nieudanej autoryzacji urządzenie uruchamia polecenie powłoki odpowiedzialne za zapis logów. Parametr nazwy użytkownika jest jednak dołączany do tego polecenia bez właściwej sanitacji, co umożliwia wstrzyknięcie dodatkowych komend systemowych.

To klasyczny przypadek command injection, ale w tym przypadku ryzyko jest szczególnie wysokie. Wykorzystanie następuje w ścieżce związanej z uwierzytelnianiem, a więc w komponencie zwykle wystawionym do obsługi ruchu administracyjnego. Dodatkowo wstrzyknięte polecenia są wykonywane z uprawnieniami roota, co daje atakującemu pełną kontrolę nad urządzeniem bez potrzeby dalszej eskalacji uprawnień.

Dostępne informacje wskazują, że podatność dotyczy co najmniej wersji firmware 2.1.0.0R3. Jej wpływ obejmuje pełne naruszenie poufności, integralności i dostępności urządzenia. Z perspektywy obrońcy oznacza to możliwość zdalnego wykonania komend, modyfikacji konfiguracji, manipulacji logami, uzyskania trwałości oraz wykorzystania urządzenia jako punktu wyjścia do dalszego ruchu bocznego.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem eksploatacji CVE-2025-67038 jest pełna kompromitacja urządzenia infrastrukturalnego, które często pośredniczy w komunikacji z systemami starszego typu. Jeżeli EDS5000 działa w sieci przemysłowej, środowisku medycznym, laboratorium lub zakładzie produkcyjnym, przejęcie takiego urządzenia może umożliwić podsłuch, modyfikację albo zakłócenie transmisji do systemów zależnych.

Ryzyko nie kończy się na jednym hoście. Serwery urządzeń szeregowych często pełnią rolę pomostu między segmentami o różnym poziomie zaufania. Atakujący z dostępem root może wykorzystać urządzenie do rekonesansu, pivotingu, tunelowania ruchu, wdrożenia mechanizmów trwałości lub manipulowania ruchem operacyjnym. W środowiskach OT jest to szczególnie groźne, ponieważ takie urządzenia bywają słabiej monitorowane i nierzadko pozostają poza typowymi mechanizmami EDR, SIEM czy kontrolami zgodności.

Dodatkowym czynnikiem podnoszącym poziom ryzyka jest potwierdzona aktywna eksploatacja. Oznacza to, że luka nie jest wyłącznie teoretycznym scenariuszem badawczym, ale realnym wektorem ataku wykorzystywanym w praktyce.

Rekomendacje

Organizacje korzystające z Lantronix EDS5000 powinny potraktować ten problem jako incydent wysokiego priorytetu. Pierwszym krokiem powinno być zidentyfikowanie wszystkich urządzeń EDS5000 w środowisku, również tych znajdujących się poza centralnym rejestrem zasobów, na przykład w sieciach OT, zdalnych lokalizacjach i instalacjach partnerskich.

  • Niezwłocznie zastosować dostępne poprawki lub zaktualizować firmware do wersji rekomendowanej przez producenta.
  • Ograniczyć dostęp do interfejsów administracyjnych wyłącznie do zaufanych segmentów i adresów źródłowych.
  • Wyłączyć publiczną ekspozycję paneli zarządzania, jeśli jest to możliwe.
  • Przeanalizować logi uwierzytelniania oraz zdarzenia HTTP pod kątem nietypowych nazw użytkowników, znaków specjalnych i prób wymuszenia błędów logowania.
  • Wdrożyć dodatkowe monitorowanie ruchu do i z urządzeń serial-to-IP.
  • Sprawdzić integralność konfiguracji oraz obecność nieautoryzowanych zmian, nowych kont, zadań harmonogramu i niestandardowych procesów.
  • Potraktować urządzenia jako potencjalny punkt pivotingu i przeprowadzić analizę powiązanych segmentów sieci.

W środowiskach o podwyższonej krytyczności warto rozważyć tymczasową izolację urządzeń, jeśli ich aktualizacja nie może zostać wykonana natychmiast. Dobrą praktyką jest również objęcie takich komponentów ciągłym skanowaniem ekspozycji oraz nadanie im wyższego priorytetu w procesach zarządzania podatnościami, zwłaszcza gdy funkcjonują na styku IT i OT.

Podsumowanie

CVE-2025-67038 w Lantronix EDS5000 to krytyczna podatność umożliwiająca wstrzyknięcie poleceń i ich wykonanie z uprawnieniami roota. Jej znaczenie podnosi zarówno wysoka ocena CVSS, jak i potwierdzona aktywna eksploatacja. Dla organizacji korzystających z urządzeń serial-to-IP oznacza to konieczność natychmiastowej weryfikacji ekspozycji, aktualizacji firmware oraz przeglądu architektury dostępu administracyjnego.

Źródła