Агентство по кибербезопасности и защите инфраструктуры США (CISA) 23 июня 2026 года внесло четыре уязвимости в каталог известных эксплуатируемых уязвимостей (KEV), подтвердив их активное использование злоумышленниками. Среди них — критическая уязвимость инъекции команд CVE-2025-67038 (CVSS 9.8) в устройствах Lantronix EDS5000 Series, а также цепочка из трёх уязвимостей в Ubiquiti UniFi OS, позволяющая получить полный контроль над устройством одним запросом. Федеральным гражданским агентствам США предписано устранить уязвимости до 26 июня 2026 года — то есть в течение трёх дней. Организациям, использующим затронутое оборудование, необходимо немедленно обновить прошивки.
Lantronix EDS5000: инъекция команд через поле имени пользователя
Уязвимость CVE-2025-67038 затрагивает серию промышленных конвертеров последовательных интерфейсов в IP — Lantronix EDS5000 (модели EDS5008, EDS5016, EDS5032). Эти устройства широко применяются в промышленных сетях, системах управления зданиями и телекоммуникационной инфраструктуре для подключения устаревшего оборудования с последовательными портами к IP-сетям.
Корень проблемы — в модуле HTTP RPC, который при неудачной аутентификации пользователя выполняет shell-команду для записи логов. Имя пользователя напрямую конкатенируется с командой без какой-либо санитизации. Это позволяет атакующему внедрить произвольные команды операционной системы через параметр имени пользователя. Внедрённые команды выполняются с привилегиями root.
С практической точки зрения это означает, что для эксплуатации не требуется предварительная аутентификация — достаточно отправить специально сформированный HTTP-запрос к интерфейсу управления устройством. Оценка CVSS 9.8 отражает тривиальность эксплуатации и максимальный уровень воздействия.
По данным исследователей, уязвимость была раскрыта лабораторией Forescout Research Vedere Labs в апреле 2026 года в составе набора уязвимостей, получившего кодовое название BRIDGE:BREAK, затрагивающего конвертеры последовательных интерфейсов от Lantronix и Silex. Обновлённая прошивка доступна на странице вендора. На данный момент публичные детали о конкретных кампаниях или группировках, эксплуатирующих CVE-2025-67038, отсутствуют — CISA подтвердила лишь сам факт эксплуатации в дикой природе.
Ubiquiti UniFi OS: цепочка из трёх уязвимостей для получения root-доступа
Параллельно CISA подтвердила активную эксплуатацию трёх уязвимостей в Ubiquiti UniFi OS:
- CVE-2026-34908 — некорректная валидация входных данных, позволяющая злоумышленнику с сетевым доступом выполнить инъекцию команд;
- CVE-2026-34909 — уязвимость обхода пути (path traversal), обеспечивающая доступ к файлам системы и, как следствие, к учётным записям;
- CVE-2026-34910 — некорректный контроль доступа, позволяющий вносить несанкционированные изменения в систему.
Особую опасность представляет тот факт, что эти три уязвимости образуют полноценную цепочку атаки. По данным исследователей Bishop Fox, которые опубликовали подробный анализ и PoC-эксплойт, последовательная эксплуатация всех трёх уязвимостей позволяет получить обратную оболочку (reverse shell) с полными привилегиями root в рамках одного HTTP-запроса без предварительной аутентификации.
Ubiquiti выпустила патчи для всех трёх уязвимостей в конце мая 2026 года. Однако, как сообщается, исследователи из Defused Cyber зафиксировали использование этой цепочки для развёртывания вредоносного ПО массового распространения ещё до включения уязвимостей в каталог CISA KEV.
Оценка воздействия
Обе группы уязвимостей представляют серьёзную угрозу, но по разным причинам.
Lantronix EDS5000 — это промышленное оборудование, часто развёрнутое в критической инфраструктуре: энергетике, транспорте, производстве. Конвертеры последовательных интерфейсов нередко подключают к сети устаревшие системы SCADA и АСУ ТП, которые сами по себе не имеют современных механизмов защиты. Компрометация такого конвертера может открыть прямой доступ к управлению промышленными процессами.
Ubiquiti UniFi OS — платформа, управляющая сетевой инфраструктурой тысяч организаций: маршрутизаторами, точками доступа, коммутаторами, камерами видеонаблюдения. Как предупредил бельгийский Центр кибербезопасности, устройства UniFi OS часто являются центральным элементом сетевой архитектуры, и их компрометация может обеспечить латеральное перемещение и захват всей сети организации. Уязвимости затрагивают конфиденциальность, целостность и доступность целевых устройств.
Рекомендации по устранению
Для Lantronix EDS5000 Series:
- Немедленно установить последнюю версию прошивки с сайта вендора;
- Если обновление невозможно в кратчайшие сроки — изолировать веб-интерфейс управления устройством от внешних сетей, ограничив доступ к HTTP RPC только доверенным IP-адресам;
- Проверить журналы доступа к веб-интерфейсу на наличие аномальных попыток аутентификации с нестандартными значениями в поле имени пользователя (содержащими спецсимволы оболочки:
;,|,$(),`); - Провести аудит сетевой сегментации — конвертеры последовательных интерфейсов не должны быть доступны из интернета.
Для Ubiquiti UniFi OS:
- Обновить UniFi OS до версии, указанной в бюллетене безопасности Ubiquiti SAB-064;
- Учитывая наличие публичного PoC и подтверждённую эксплуатацию, приоритет обновления — критический;
- Проверить устройства на признаки компрометации: нетипичные процессы, несанкционированные учётные записи, изменения конфигурации;
- Ограничить доступ к интерфейсу управления UniFi OS из внешних сетей до момента обновления.
Трёхдневный срок устранения, установленный CISA для федеральных агентств, отражает исключительную срочность ситуации. Для CVE-2025-67038 в Lantronix EDS5000 — это неаутентифицированное выполнение команд с root-привилегиями через единственный HTTP-запрос; для цепочки уязвимостей UniFi OS — публично доступный эксплойт, уже применяемый для распространения вредоносного ПО. Организациям, использующим любое из затронутых устройств, следует рассматривать установку патчей как задачу с наивысшим приоритетом на ближайшие 24–48 часов.
