A agência de segurança cibernética dos Estados Unidos, CISA, confirmou em 23 de junho que uma falha crítica no dispositivo serial-to-ethernet Lantronix EDS5000 está sendo explorada ativamente por atacantes. A vulnerabilidade (CVE-2025-67038), com score CVSS 9.8, permite execução remota de comandos com privilégios de root sem necessidade de autenticação — o que configura um dos cenários de maior risco para ambientes industriais e de infraestrutura crítica.
Resumo: O CVE-2025-67038 é uma falha de injeção de código no módulo HTTP RPC do Lantronix EDS5000 versão 2.1.0.0R3. Um atacante não autenticado pode injetar comandos arbitrários no campo de username durante uma tentativa de login falha. Os comandos executam com privilégios de root. A CISA adicionou a falha ao catálogo KEV com prazo de correção até 26 de junho para agências federais. A Lantronix lançou firmware 2.2.0.0R1 como correção.
O que é o Lantronix EDS5000
O Lantronix EDS5000 é um dispositivo de servidor serial-to-ethernet usado para conectar equipamentos industriais com portas seriais a redes IP. Segmentos que o utilizam incluem telecomunicações, manufatura e infraestrutura crítica. De acordo com o advisory da CISA (ICSA-26-069-02), publicado em 10 de março de 2026, o dispositivo atua em setores de Communications, Information Technology e Critical Manufacturing, com implantação mundial. Modelos da série incluem EDS5008, EDS5016 e EDS5032, com variações de número de portas seriais.
A vulnerabilidade foi inicialmente documentada pelo Forescout Research Vedere Labs em abril de 2026, dentro de um conjunto de falhas que afetam conversores serial-to-IP das marcas Lantronix e Silex. O conjunto de vulnerabilidades foi denominado pelos pesquisadores como parte de uma análise ampla sobre dispositivos de conectividade industrial, classe de equipamentos frequentemente negligenciada em auditorias de segurança.
Dispositivos desse tipo operam na interseção entre redes operacionais (OT) e redes corporativas (IT), um ponto de entrada estratégico para atacantes que buscam pivotar de equipamentos industriais menos protegidos para sistemas centrais da organização. A exploração do CVE-2025-67038 oferece exatamente esse caminho: controle total do dispositivo com root, sem autenticação prévia.
Como funciona a injeção
O problema reside no módulo HTTP RPC do firmware 2.1.0.0R3. Quando um usuário tenta autenticar e falha, o sistema executa um comando shell para registrar o evento de log. O campo de username é concatenado diretamente ao comando sem qualquer sanitização — um erro classificado como CWE-78 (Improper Neutralization of Special Elements in OS Command) e CWE-94 (Code Injection), segundo o NVD.
Isso significa que um atacante remoto, sem credenciais válidas, pode enviar um payload no campo de username que o sistema interpreta como instrução shell. Os comandos executam com privilégios de root, o que concede controle total sobre o dispositivo. O vetor de ataque é pela rede (AV:N), com complexidade baixa (AC:L), sem necessidade de privilégios prévios (PR:N) ou interação do usuário (UI:N), conforme o CVSS v3.1.
O score de probabilidade EPSS (Exploit Prediction Scoring System) para o CVE-2025-67038 é de 1,13% em 30 dias, indicando chance relevante de escrutínio e exploração mais ampla na internet. A classificação “ACTIVE” no NVD confirma que a exploração já foi observada no ambiente real.
A falha é parte de um grupo de cinco vulnerabilidades no EDS5000 catalogadas sob CVEs 2025-67034 a 2025-67038. Todas compartilham a mesma classe — injeção de comando OS — e o mesmo contexto de execução com root. As demais quatro requerem autenticação, mas a CVE-2025-67038 se destaca por dispensar qualquer credencial, elevando-a de “alta” para “crítica”.
Cronologia e resposta
- 10 de março de 2026: CISA publica advisory ICS-A-26-069-02 detalhando cinco vulnerabilidades no Lantronix EDS3000PS e EDS5000. Lantronix libera firmware 2.2.0.0R1 como correção para todos os CVEs do conjunto.
- Abril de 2026: Forescout Research Vedere Labs divulga pesquisa detalhada sobre o conjunto de falhas em conversores serial-to-IP, incluindo dispositivos Lantronix e Silex.
- 23 de junho de 2026: CISA adiciona CVE-2025-67038 ao catálogo KEV (Known Exploited Vulnerabilities), com prazo de correção até 26 de junho para agências federais dos EUA. Três outras vulnerabilidades (CVE-2026-34908, CVE-2026-34909 e CVE-2026-34910) do Ubiquiti UniFi OS são adicionadas na mesma atualização.
- 24 de junho de 2026: NVD atribui score CVSS 9.8 ao CVE-2025-67038 e registra status de exploração ativa. The Hacker News publica reportagem sobre o alerta.
Mapa dos CVEs afetados
| CVE | Descrição | CVSS | Autenticação |
|---|---|---|---|
| CVE-2025-67038 | Injeção de código via username no módulo HTTP RPC (log de falha de autenticação) | 9.8 Crítico | Não requer |
| CVE-2025-67034 | Injeção OS no parâmetro “name” ao excluir credenciais SSL | 7.2 Alto | Requer autenticação |
| CVE-2025-67035 | Injeção OS nas páginas SSH Client e SSH Server (ações de exclusão) | 7.2 Alto | Requer autenticação |
| CVE-2025-67036 | Injeção OS na página Log Info via parâmetro de nome de arquivo | 7.2 Alto | Requer autenticação |
| CVE-2025-67037 | Injeção OS na página Network (ações de configuração) | 7.2 Alto | Requer autenticação |
O que fazer agora
A correção definitiva é o upgrade do firmware EDS5000 para a versão 2.2.0.0R1, disponibilizada pela Lantronix em seu portal de suporte. A CISA, sob a Diretiva Operacional Vinculante (BOD) 26-04, estabeleceu prazo de 26 de junho para que agências federais dos EUA apliquem a correção em ativos expostos publicamente. Embora a diretiva se aplique apenas ao governo federal, a CISA recomenda que todas as organizações adotem gestão de vulnerabilidades baseada em risco.
Para organizações que não conseguem aplicar o patch imediatamente, as medidas de mitigação recomendadas incluem: isolar os dispositivos EDS5000 da rede, restringir acesso via firewall para bloquear tráfego não essencial na porta de gerenciamento web, e monitorar logs de autenticação por tentativas anômalas. Dado que o dispositivo opera em ambientes industriais, o segmento de rede OT deve ser separado do segmento corporativo IT (network segmentation). Dispositivos expostos diretamente à internet devem ser desconectados.
Fontes e referências
- The Hacker News — CISA Warns Critical Lantronix EDS5000 Flaw Is Being Actively Exploited (24 jun. 2026)
- CISA ICS Advisory — Lantronix EDS3000PS and EDS5000 (ICSA-26-069-02, 10 mar. 2026)
- CISA — Adds Four Known Exploited Vulnerabilities to Catalog (23 jun. 2026)
- SecurityOnline — CVE-2025-67038 Watchtower Detail