Mastodon Mastodon Mastodon Mastodon

Nuevas vulnerabilidades explotadas en Lantronix EDS5000 y Ubiquiti UniFi OS

Foto del autor

CyberSecureFox Editorial Team

Publicado:

La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) el 23 de junio de 2026 añadió cuatro vulnerabilidades al catálogo de vulnerabilidades conocidas explotadas (KEV), confirmando su uso activo por parte de atacantes. Entre ellas se encuentra la vulnerabilidad crítica de command injection CVE-2025-67038 (CVSS 9.8) en dispositivos Lantronix EDS5000 Series, así como una cadena de tres vulnerabilidades en Ubiquiti UniFi OS, que permite obtener el control total del dispositivo con una sola petición. A las agencias federales civiles de EE. UU. se les ha ordenado corregir las vulnerabilidades antes del 26 de junio de 2026, es decir, en el plazo de tres días. Las organizaciones que utilicen el equipamiento afectado deben actualizar inmediatamente el firmware.

Lantronix EDS5000: command injection a través del campo de nombre de usuario

La vulnerabilidad CVE-2025-67038 afecta a la serie de conversores industriales de interfaces serie a IP — Lantronix EDS5000 (modelos EDS5008, EDS5016, EDS5032). Estos dispositivos se utilizan ampliamente en redes industriales, sistemas de gestión de edificios e infraestructuras de telecomunicaciones para conectar equipos heredados con puertos serie a redes IP.

La raíz del problema se encuentra en el módulo HTTP RPC, que cuando la autenticación de un usuario falla ejecuta un comando de shell para escribir los registros. El nombre de usuario se concatena directamente con el comando sin ningún tipo de sanitización. Esto permite a un atacante inyectar comandos arbitrarios del sistema operativo a través del parámetro de nombre de usuario. Los comandos inyectados se ejecutan con privilegios de root.

Desde un punto de vista práctico, esto significa que la explotación no requiere autenticación previa: basta con enviar una petición HTTP especialmente manipulada a la interfaz de gestión del dispositivo. La puntuación CVSS 9.8 refleja la trivialidad de la explotación y el máximo nivel de impacto.

Según los investigadores, la vulnerabilidad fue revelada por el laboratorio Forescout Research Vedere Labs en abril de 2026 como parte de un conjunto de vulnerabilidades con el nombre en clave BRIDGE:BREAK, que afecta a conversores de interfaces serie de Lantronix y Silex. El firmware actualizado está disponible en la página del proveedor. Por el momento no hay detalles públicos sobre campañas o grupos concretos que estén explotando CVE-2025-67038: CISA solo ha confirmado el hecho de su explotación in the wild.

Ubiquiti UniFi OS: cadena de tres vulnerabilidades para obtener acceso root

Paralelamente, CISA confirmó la explotación activa de tres vulnerabilidades en Ubiquiti UniFi OS:

  • CVE-2026-34908: validación incorrecta de los datos de entrada, que permite a un atacante con acceso a la red llevar a cabo command injection;
  • CVE-2026-34909: vulnerabilidad de omisión de ruta (path traversal), que proporciona acceso a archivos del sistema y, en consecuencia, a cuentas de usuario;
  • CVE-2026-34910: control de acceso incorrecto, que permite realizar cambios no autorizados en el sistema.

El hecho de que estas tres vulnerabilidades formen una cadena de ataque completa reviste un peligro especial. Según los investigadores de Bishop Fox, que publicaron un análisis detallado y un exploit PoC, la explotación secuencial de las tres vulnerabilidades permite obtener una shell inversa (reverse shell) con privilegios completos de root dentro de una sola petición HTTP y sin autenticación previa.

Ubiquiti ha publicado parches para las tres vulnerabilidades a finales de mayo de 2026. Sin embargo, según se informa, investigadores de Defused Cyber detectaron el uso de esta cadena para el despliegue de malware de distribución masiva incluso antes de que las vulnerabilidades se incluyeran en el catálogo CISA KEV.

Evaluación del impacto

Ambos grupos de vulnerabilidades representan una amenaza grave, pero por razones diferentes.

Lantronix EDS5000 es equipamiento industrial que a menudo se despliega en infraestructuras críticas: energía, transporte, manufactura. Los conversores de interfaces serie conectan con frecuencia a la red sistemas SCADA y DCS heredados que, por sí mismos, carecen de mecanismos de protección modernos. La compromisión de un conversor de este tipo puede abrir un acceso directo al control de procesos industriales.

Ubiquiti UniFi OS es una plataforma que gestiona la infraestructura de red de miles de organizaciones: routers, puntos de acceso, switches, cámaras de videovigilancia. Tal como advirtió el Centro de Ciberseguridad de Bélgica, los dispositivos UniFi OS suelen ser un elemento central de la arquitectura de red, y su compromisión puede facilitar el movimiento lateral y la toma de control de toda la red de la organización. Las vulnerabilidades afectan a la confidencialidad, la integridad y la disponibilidad de los dispositivos afectados.

Recomendaciones de mitigación

Para Lantronix EDS5000 Series:

  • Instalar de inmediato la última versión del firmware desde el sitio web del proveedor;
  • Si no es posible actualizar en el corto plazo, aislar la interfaz web de administración del dispositivo de las redes externas, limitando el acceso a HTTP RPC solo a direcciones IP de confianza;
  • Revisar los registros de acceso a la interfaz web en busca de intentos anómalos de autenticación con valores inusuales en el campo de nombre de usuario (que contengan caracteres especiales de shell: ;, |, $(), `);
  • Realizar una auditoría de la segmentación de red: los conversores de interfaces serie no deben ser accesibles desde internet.

Para Ubiquiti UniFi OS:

  • Actualizar UniFi OS a la versión indicada en el boletín de seguridad de Ubiquiti SAB-064;
  • Dada la existencia de un PoC público y la explotación ya confirmada, la prioridad de la actualización es crítica;
  • Comprobar los dispositivos en busca de indicios de compromiso: procesos atípicos, cuentas no autorizadas, cambios de configuración;
  • Restringir el acceso a la interfaz de gestión de UniFi OS desde redes externas hasta que se complete la actualización.

El plazo de tres días para la corrección, establecido por CISA para las agencias federales, refleja la urgencia excepcional de la situación. En el caso de CVE-2025-67038 en Lantronix EDS5000, se trata de ejecución de comandos no autenticada con privilegios de root mediante una única petición HTTP; en el caso de la cadena de vulnerabilidades de UniFi OS, de un exploit de acceso público que ya se está utilizando para distribuir malware. Las organizaciones que utilicen cualquiera de los dispositivos afectados deben considerar la instalación de parches como una tarea de máxima prioridad para las próximas 24–48 horas.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio