Die US-Behörde für Cyber- und Infrastruktursicherheit (CISA) hat am 23. Juni 2026 vier Schwachstellen in den Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und damit deren aktive Ausnutzung durch Angreifer bestätigt. Darunter befindet sich die kritische Command Injection-Schwachstelle CVE-2025-67038 (CVSS 9.8) in Geräten der Lantronix EDS5000 Series sowie eine Kette aus drei Schwachstellen in Ubiquiti UniFi OS, die es erlaubt, ein Gerät mit nur einer Anfrage vollständig zu übernehmen. Bundesbehörden der USA sind verpflichtet, die Schwachstellen zu beheben – bis zum 26. Juni 2026, also innerhalb von drei Tagen. Organisationen, die die betroffene Hardware einsetzen, müssen die Firmware umgehend aktualisieren.
Lantronix EDS5000: Command Injection über das Benutzername-Feld
Die Schwachstelle CVE-2025-67038 betrifft eine Serie industrieller Serial-zu-IP-Konverter – die Lantronix EDS5000-Reihe (Modelle EDS5008, EDS5016, EDS5032). Diese Geräte werden in industriellen Netzwerken, Gebäudemanagementsystemen und in der Telekommunikationsinfrastruktur weit verbreitet eingesetzt, um Legacy-Systeme mit seriellen Schnittstellen an IP-Netzwerke anzubinden.
Die Ursache liegt im HTTP-RPC-Modul, das bei fehlgeschlagener Authentifizierung eines Nutzers einen Shell-Befehl zur Protokollierung ausführt. Der Benutzername wird dabei direkt und ohne jegliche Sanitization an den Befehl angehängt. Dies erlaubt es einem Angreifer, über den Benutzernamen-Parameter beliebige Betriebssystembefehle einzuschleusen. Die eingeschleusten Befehle werden mit Root-Rechten ausgeführt.
Praktisch bedeutet dies, dass für die Ausnutzung keine vorherige Authentifizierung erforderlich ist – ein speziell präparierter HTTP-Request an das Management-Interface des Geräts genügt. Die CVSS-Bewertung von 9.8 spiegelt die triviale Ausnutzbarkeit und die maximale Auswirkung wider.
Nach Angaben von Forschern wurde die Schwachstelle im April 2026 vom Forescout Research Vedere Labs im Rahmen eines Schwachstellenpakets mit dem Codenamen BRIDGE:BREAK offengelegt, das Serial-Konverter von Lantronix und Silex betrifft. Eine aktualisierte Firmware ist auf der Herstellerseite verfügbar. Derzeit liegen keine öffentlichen Details zu konkreten Kampagnen oder Gruppen vor, die CVE-2025-67038 ausnutzen – CISA hat lediglich die Tatsache der Ausnutzung in freier Wildbahn bestätigt.
Ubiquiti UniFi OS: Kette aus drei Schwachstellen für Root-Zugriff
Parallel dazu hat CISA die aktive Ausnutzung von drei Schwachstellen in Ubiquiti UniFi OS bestätigt:
- CVE-2026-34908 – fehlerhafte Eingabevalidierung, die es einem Angreifer mit Netzwerkzugang ermöglicht, eine Command Injection auszuführen;
- CVE-2026-34909 – eine Path Traversal-Schwachstelle, die Zugriff auf Systemdateien und damit auf Benutzerkonten ermöglicht;
- CVE-2026-34910 – fehlerhafte Zugriffskontrolle, die nicht autorisierte Änderungen am System zulässt.
Besonders gefährlich ist die Tatsache, dass diese drei Schwachstellen eine vollständige Angriffskette bilden. Nach Angaben der Forscher von Bishop Fox, die eine detaillierte Analyse und einen PoC-Exploit veröffentlicht haben, ermöglicht die sequentielle Ausnutzung aller drei Schwachstellen den Erhalt einer Reverse Shell mit vollen Root-Rechten im Rahmen einer einzigen HTTP-Anfrage – ganz ohne vorherige Authentifizierung.
Ubiquiti hat Patches für alle drei Schwachstellen Ende Mai 2026 veröffentlicht. Wie berichtet, haben Forscher von Defused Cyber die Nutzung dieser Kette zur Verbreitung von Massen-Malware bereits beobachtet, bevor die Schwachstellen in den CISA-KEV-Katalog aufgenommen wurden.
Auswirkungsbewertung
Beide Schwachstellengruppen stellen eine ernsthafte Bedrohung dar, jedoch aus unterschiedlichen Gründen.
Lantronix EDS5000 ist Industrie-Equipment, das häufig in kritischer Infrastruktur wie Energie, Transport und Fertigung eingesetzt wird. Serial-Konverter binden oft veraltete SCADA- und industrielle Steuerungs- und Leitsysteme an das Netzwerk an, die selbst über keine modernen Schutzmechanismen verfügen. Die Kompromittierung eines solchen Konverters kann direkten Zugriff auf die Steuerung industrieller Prozesse eröffnen.
Ubiquiti UniFi OS ist eine Plattform, die die Netzwerkinfrastruktur tausender Organisationen verwaltet: Router, Access Points, Switches, Videoüberwachungskameras. Wie der Belgische Cyber-Sicherheitszentrums gewarnt hat, sind UniFi OS-Geräte häufig das zentrale Element der Netzwerkarchitektur, und ihre Kompromittierung kann laterale Bewegung und die Übernahme des gesamten Netzwerks einer Organisation ermöglichen. Die Schwachstellen beeinträchtigen Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Geräte.
Empfehlungen zur Behebung
Für die Lantronix EDS5000 Series:
- Unverzüglich die aktuellste Firmware-Version von der Herstellerseite installieren;
- Falls ein Update kurzfristig nicht möglich ist – das Web-Management-Interface des Geräts von externen Netzen isolieren und den Zugriff auf HTTP RPC auf vertrauenswürdige IP-Adressen beschränken;
- Die Zugriffsprotokolle des Web-Interfaces auf Auffälligkeiten bei Anmeldeversuchen mit ungewöhnlichen Werten im Benutzernamen-Feld prüfen (Werte mit Shell-Sonderzeichen wie
;,|,$(),`); - Einen Audit der Netzsegmentierung durchführen – Serial-Konverter sollten nicht aus dem Internet erreichbar sein.
Für Ubiquiti UniFi OS:
- UniFi OS auf die im Ubiquiti-Sicherheitsbulletin SAB-064 genannte Version aktualisieren;
- Angesichts des vorhandenen öffentlichen PoC und der bestätigten Ausnutzung ist die Priorität für das Update kritisch;
- Die Geräte auf Anzeichen einer Kompromittierung prüfen: ungewöhnliche Prozesse, unautorisierte Benutzerkonten, Konfigurationsänderungen;
- Den Zugriff auf das UniFi OS-Management-Interface aus externen Netzen bis zum Abschluss des Updates einschränken.
Die von CISA für Bundesbehörden gesetzte Behebungsfrist von drei Tagen verdeutlicht die außergewöhnliche Dringlichkeit der Situation. Bei CVE-2025-67038 in Lantronix EDS5000 handelt es sich um nicht authentifizierte Befehlsausführung mit Root-Rechten über einen einzigen HTTP-Request; bei der UniFi OS-Schwachstellenkette existiert ein öffentlich verfügbarer Exploit, der bereits zur Verbreitung von Malware eingesetzt wird. Organisationen, die eines der betroffenen Geräte nutzen, sollten die Installation der Patches als Aufgabe mit höchster Priorität innerhalb der nächsten 24–48 Stunden betrachten.
