Агентство з кібербезпеки та безпеки інфраструктури США (CISA) 23 червня 2026 року внесло чотири вразливості до каталогу відомих експлуатованих вразливостей (KEV), підтвердивши їхнє активне використання зловмисниками. Серед них — критична вразливість ін’єкції команд CVE-2025-67038 (CVSS 9.8) у пристроях Lantronix EDS5000 Series, а також ланцюжок із трьох вразливостей в Ubiquiti UniFi OS, що дозволяє отримати повний контроль над пристроєм одним запитом. Федеральним цивільним агентствам США приписано усунути вразливості до 26 червня 2026 року — тобто протягом трьох днів. Організаціям, які використовують відповідне обладнання, необхідно негайно оновити прошивки.
Lantronix EDS5000: ін’єкція команд через поле імені користувача
Вразливість CVE-2025-67038 вражає серію промислових конвертерів послідовних інтерфейсів в IP — Lantronix EDS5000 (моделі EDS5008, EDS5016, EDS5032). Ці пристрої широко застосовуються в промислових мережах, системах керування будівлями та телекомунікаційній інфраструктурі для підключення застарілого обладнання з послідовними портами до IP-мереж.
Проблема полягає в модулі HTTP RPC, який у разі невдалої автентифікації користувача виконує shell-команду для запису логів. Ім’я користувача безпосередньо конкатенується з командою без будь-якої санітизації. Це дозволяє зловмиснику впровадити довільні команди операційної системи через параметр імені користувача. Впроваджені команди виконуються з привілеями root.
З практичного погляду це означає, що для експлуатації не потрібна попередня автентифікація — достатньо надіслати спеціально сформований HTTP-запит до інтерфейсу керування пристроєм. Оцінка CVSS 9.8 відображає тривіальність експлуатації та максимальний рівень впливу.
За даними дослідників, вразливість була розкрита лабораторією Forescout Research Vedere Labs у квітні 2026 року в складі набору вразливостей, що отримав кодову назву BRIDGE:BREAK і вражає конвертери послідовних інтерфейсів від Lantronix і Silex. Оновлена прошивка доступна на сторінці вендора. Наразі публічні деталі щодо конкретних кампаній або угруповань, які експлуатують CVE-2025-67038, відсутні — CISA підтвердила лише сам факт експлуатації у «дикій природі».
Ubiquiti UniFi OS: ланцюжок із трьох вразливостей для отримання root-доступу
Паралельно CISA підтвердила активну експлуатацію трьох вразливостей в Ubiquiti UniFi OS:
- CVE-2026-34908 — некоректна валідація вхідних даних, що дозволяє зловмиснику з мережевим доступом виконати ін’єкцію команд;
- CVE-2026-34909 — вразливість обходу шляху (path traversal), яка забезпечує доступ до файлів системи і, як наслідок, до облікових записів;
- CVE-2026-34910 — некоректний контроль доступу, що дозволяє вносити несанкціоновані зміни в систему.
Особливу небезпеку становить той факт, що ці три вразливості утворюють повноцінний ланцюжок атаки. За даними дослідників Bishop Fox, які опублікували детальний аналіз і PoC-експлойт, послідовна експлуатація всіх трьох вразливостей дозволяє отримати зворотну оболонку (reverse shell) з повними привілеями root у межах одного HTTP-запиту без попередньої автентифікації.
Ubiquiti випустила патчі для всіх трьох вразливостей наприкінці травня 2026 року. Однак, як повідомляється, дослідники з Defused Cyber зафіксували використання цього ланцюжка для розгортання зловмисного програмного забезпечення масового поширення ще до включення вразливостей до каталогу CISA KEV.
Оцінка впливу
Обидві групи вразливостей становлять серйозну загрозу, але з різних причин.
Lantronix EDS5000 — це промислове обладнання, яке часто розгортають у критичній інфраструктурі: енергетиці, транспорті, виробництві. Конвертери послідовних інтерфейсів нерідко підключають до мережі застарілі системи SCADA та АСУ ТП, які самі по собі не мають сучасних механізмів захисту. Компрометація такого конвертера може відкрити прямий доступ до керування промисловими процесами.
Ubiquiti UniFi OS — платформа, що керує мережевою інфраструктурою тисяч організацій: маршрутизаторами, точками доступу, комутаторами, камерами відеоспостереження. Як попередив бельгійський Центр кібербезпеки, пристрої UniFi OS часто є центральним елементом мережевої архітектури, і їхня компрометація може забезпечити латеральне переміщення та захоплення всієї мережі організації. Вразливості впливають на конфіденційність, цілісність і доступність цільових пристроїв.
Рекомендації щодо усунення
Для Lantronix EDS5000 Series:
- Негайно встановити останню версію прошивки з сайту вендора;
- Якщо оновлення неможливе у найкоротші строки — ізолювати вебінтерфейс керування пристроєм від зовнішніх мереж, обмеживши доступ до HTTP RPC лише довіреним IP-адресам;
- Перевірити журнали доступу до вебінтерфейсу на наявність аномальних спроб автентифікації з нестандартними значеннями в полі імені користувача (що містять спецсимволи оболонки:
;,|,$(),`); - Провести аудит мережевої сегментації — конвертери послідовних інтерфейсів не повинні бути доступні з інтернету.
Для Ubiquiti UniFi OS:
- Оновити UniFi OS до версії, зазначеної в бюлетені безпеки Ubiquiti SAB-064;
- З огляду на наявність публічного PoC і підтверджену експлуатацію, пріоритет оновлення — критичний;
- Перевірити пристрої на ознаки компрометації: нетипові процеси, несанкціоновані облікові записи, зміни конфігурації;
- Обмежити доступ до інтерфейсу керування UniFi OS із зовнішніх мереж до моменту оновлення.
Триденний термін усунення, встановлений CISA для федеральних агентств, відображає виключну терміновість ситуації. Для CVE-2025-67038 у Lantronix EDS5000 — це неавтентифіковане виконання команд з root-привілеями через єдиний HTTP-запит; для ланцюжка вразливостей UniFi OS — публічно доступний експлойт, який уже застосовують для поширення зловмисного програмного забезпечення. Організаціям, що використовують будь-які з уражених пристроїв, слід розглядати встановлення патчів як завдання найвищого пріоритету на найближчі 24–48 годин.
