返回
快讯

CISA 警告 Lantronix EDS5000 严重漏洞正被主动利用

CISA 警告,Lantronix EDS5000 Series 设备中的严重漏洞 CVE-2025-67038 正被主动利用,要求 FCEB 机构在 2026-06-26 前完成修补。Forescout 也披露相关 N-day 攻击、暴力破解活动与受影响的 OpenWRT LuCI 设备情况。

CVE-2025-67038CVE-2026-34908CVE-2026-34909CVE-2026-34910

美国 Cybersecurity and Infrastructure Security Agency (CISA) 周二警告,Lantronix EDS5000 Series devices 存在一个严重 security flaw,且正被主动利用,并敦促 Federal Civilian Executive Branch (FCEB) agencies 在 2026-06-26 前应用修复。

相关漏洞是 CVE-2025-67038(CVSS score: 9.8),这是一个 code injection flaw,可能导致在提升权限的情况下执行任意命令。

“当用户认证失败时,HTTP RPC module 会执行一个 shell command 来写入 logs,”CVE.org 上对该漏洞的描述写道。“username 会直接与命令拼接在一起,没有任何 sanitization。这使得攻击者可以在 username 参数中注入任意 OS commands。注入的 commands 会以 root privileges 执行。”

该 security flaw 于 2026 年 4 月由 Forescout Research Vedere Labs 披露,作为更大一组 vulnerabilities 的一部分,这些漏洞统称为 BRIDGE:BREAK,影响来自 Lantronix 和 Silex 的 serial-to-IP converters。当前尚无关于该漏洞如何被利用,或幕后是谁在推动这些行动的细节。

这一披露出现之际,CISA 还确认 Ubiquity UniFi OS 中三个最高严重等级的 security defects 正在被主动利用;就在几天前,Defused Cyber 说其检测到由 CVE-2026-34908、CVE-2026-34909 和 CVE-2026-34910 组成的 remote code execution chain 在野外被滥用,用来部署 commodity malware。

CVE-2026-34908 - 一个 improper input validation vulnerability,可能允许具有 network access 的恶意行为者进行 command injection

CVE-2026-34909 - 一个 path traversal vulnerability,可能允许具有 network access 的恶意行为者访问 underlying system 上的文件,而这些文件可被操控以访问一个 underlying account。

CVE-2026-34910 - 一个 improper access control vulnerability,可能允许具有 network access 的恶意行为者对系统进行未授权更改。

本月早些时候,Bishop Fox 详细说明了一个 proof-of-concept (PoC),它把这三个 shortcomings 串联起来,只需单一请求就能取得带有完整 root privileges 的 reverse shell。Ubiquiti 已于上月底发布这些 flaws 的 patches。

“这些 vulnerabilities 可能允许 remote attackers 对 vulnerable systems 进行未授权系统更改、访问 sensitive files、披露信息,或执行任意命令,对目标设备的 confidentiality、integrity 和 availability 造成高度影响,”Belgium 的 Centre for Cybersecurity 表示。

“鉴于 UniFi OS devices 往往会被集中集成到网络中,成功入侵可能使攻击者实现 lateral movement,并造成更广泛的 network compromise。”

Lantronix 漏洞作为 N-Day 被利用

在 2026-06-25 发布的一份新报告中,Forescout Research Vedere Labs 表示,其观察到一个称为 Chaya_006 的 threat actor 早在 4 月 5 日就开始通过利用 CVE-2025-67038 针对其 honeypots;这比该 operational technology security company 公开披露 BRIDGE:BREAK flaws 早了两周多,但发生在 Lantronix 于 2 月 20 日修补之后。

“这意味着攻击者没有使用我们报告中的信息,但可能对 patch 进行了 reverse-engineering 以构建 exploit,”该公司表示。“该 exploit 是一组针对 Lantronix 的 activity 的一部分,这组 activity 还包括其他 reconnaissance actions。”

攻击活动源自 IP addresses “38.207.136[.]2” 和 “218.13.42[.]36”,threat actors 试图通过向 “/cgi-bin/luci/rpc/auth” endpoint 发送精心构造的 requests 来注入任意 commands。exploit attempts 发生在 2026-04-05 到 2026-06-03 之间。

“这个特定 vulnerability 之所以出现,是因为受影响 devices 上的 LuCI's HTTP JSON-RPC module 会在认证失败后写入一条 log entry,”Forescout 补充说。“username 会在没有 input sanitization 的情况下拼接进 log string,然后该 log string 会通过 os.execute 在系统上执行。这可能允许攻击者通过在 cgi-bin/luci/rpc/auth 的 authentication attempt 中向 username 参数注入这些 commands,以 root 身份执行 commands。”

另外,这家 cybersecurity company 说,其在 2026-01-28 到 2026-06-06 之间检测到一组并行的 exploit attempts,针对 Lantronix 和其他 honeypots,针对 OpenWRT LuCI credentials 发起了超过 4,100 次 brute-force attempts。作为这些 attacks 的一部分,共尝试了四个 usernames 和 200 多种不同的 password combinations。

对 Shodan 的搜索显示,目前大约有 31,850 台 internet-exposed devices 正在运行 OpenWRT LuCI,其中约 5,000 台被标记为 honeypots。建议组织立即为 Lantronix devices 应用 patches,替换默认 credentials,避免使用弱密码,并强制实施 network segmentation。

(本文在 2026-06-26 发布后已更新,加入了来自 Forescout 的见解。)