A Agência de Segurança Cibernética dos EUA (CISA) adicionou quatro vulnerabilidades ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) em 23 de junho de 2026, com evidência de exploração ativa por ameaçadores. Três falhas afetam o Ubiquiti UniFi OS e podem conceder privilégios root total a atacantes remotos não autenticados, enquanto a quarta atinge dispositivos de gestão Lantronix EDS5000. Agências federais americanas têm até 26 de junho para aplicar as correções — um prazo de três dias que reflete a gravidade e a urgência da ameaça.
Quatro falhas críticas com exploração ativa
As quatro falhas do catálogo KEV
O catálogo KEV concentra-se exclusivamente em vulnerabilidades com exploração confirmada no mundo real, tornando-o o indicador mais confiável para priorização de correções em qualquer organização. Ao contrário de listas de CVEs que incluem milhares de entradas teóricas, o KEV filtra apenas aquelas que estão sendo efetivamente usadas por ransomware, grupos APT e campanhas automatizadas.
As quatro novas entradas seguem um padrão preocupante: dispositivos de infraestrutura de rede e IoT industrial com falhas que permitem execução remota de código e escalonamento de privilégios. São alvos estratégicos porque controlam o fluxo de rede de organizações inteiras — quando comprometidos, fornecem visibilidade e controle total sobre a infraestrutura.
| CVE | Produto | Tipo de Falha | Prazo Federal |
|---|---|---|---|
| CVE-2025-67038 | Lantronix EDS5000 | Injeção de Código | 26 de junho |
| CVE-2026-34908 | Ubiquiti UniFi OS | Controle de Acesso Improper | 26 de junho |
| CVE-2026-34909 | Ubiquiti UniFi OS | Path Traversal | 26 de junho |
| CVE-2026-34910 | Ubiquiti UniFi OS | Validação de Entrada Improper | 26 de junho |
Mecanismo de exploração
As três vulnerabilidades do UniFi OS foram identificadas por pesquisadores como exploráveis em cadeia. O CVE-2026-34908 permite bypass de controles de acesso, habilitando que um atacante sem credenciais acesse funcionalidades restritas do sistema. O CVE-2026-34909 possibilita path traversal para ler e potencialmente modificar arquivos do sistema operacional do dispositivo. O CVE-2026-34910 falha na validação de entrada do usuário, abrindo brecha para injeção de comandos.
Quando encadeados, esses vetores permitem que um atacante não autenticado com acesso à interface web do UniFi OS alcance privilégios root no dispositivo — assumindo controle total da rede gerenciada e de todo o tráfego que passa pelos equipamentos Ubiquiti. Dream Machine, gateways e access points compartilham a mesma base de código UniFi OS, ampliando significativamente a superfície de ataque.
A falha no Lantronix EDS5000 (CVE-2025-67038) envolve injeção de código em um dispositivo de gestão remota de servidores amplamente empregado em ambientes industriais e data centers. O EDS5000 fornece acesso serial a servidores físicos por meio de rede IP, funcionando como ponte entre terminais e equipamentos de rack. Quando explorada, a falha permite execução arbitrária de comandos no dispositivo, abrindo caminho para movimentação lateral e comprometimento de sistemas adjacentes. Dispositivos desse tipo são pontos estratégicos pois controlam acesso de baixo nível a infraestrutura crítica.
Contexto do prazo federal
A CISA estabeleceu prazos de correção por meio da Binding Operational Directive (BOD) 26-04, que exige que agências federais americanas remediem vulnerabilidades do KEV em ativos expostos que concedem controle total do sistema. Embora a diretiva seja obrigatória apenas para o governo federal, a CISA recomenda expressamente que todas as organizações sigam a mesma priorização baseada em risco.
O prazo de três dias para essas quatro vulnerabilidades é excepcionalmente curto e reflete a classificação de alto risco — dispositivos com acesso root pós-exploração e exposição potencial à internet. Organizações que operam esses equipamentos devem tratar a correção como ação de emergência, não como manutenção rotineira de patches.
O que fazer agora
- Atualize imediatamente o UniFi OS para a versão mais recente disponível no rack Ubiquiti e o firmware Lantronix EDS5000 com a correção do CVE-2025-67038. Verifique em todos os dispositivos, incluindo gateways e access points.
- Segmentar rede — dispositivos de IoT e gestão nunca devem ser acessíveis diretamente da internet sem VPN, ZTNA ou segmentação adequada. Isolar a rede de gestão em uma VLAN dedicada é o mínimo recomendado.
- Monitore logs de acesso desses dispositivos para requisições incomuns, especialmente chamadas de API não autorizadas, acessos de IPs externos e tentativas de path traversal.
- Revise exposição à internet — use ferramentas como Shodan ou Censys para verificar se dispositivos Ubiquiti ou Lantronix estão visíveis e acessíveis publicamente.
- Inscreva-se nos alertas KEV da CISA para receber notificações em tempo real de vulnerabilidades com exploração confirmada e manter seus prazos de correção atualizados.
Fontes
- CISA Adds Four Known Exploited Vulnerabilities to Catalog — CISA, 23 de junho de 2026
- SecurityOnline — CISA KEV catalog actively exploited vulnerabilities — SecurityOnline