De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde dinsdag voor actieve exploitatie van een kritieke beveiligingsfout die gevolgen heeft voor apparaten uit de Lantronix EDS5000-serie, en drong er bij de Federal Civilian Executive Branch (FCEB) -agentschappen op aan om de oplossingen vóór 26 juni 2026 toe te passen.
De kwetsbaarheid in kwestie is CVE-2025-67038 (CVSS-score: 9,8), een fout in de code-injectie die zou kunnen resulteren in de uitvoering van willekeurige opdrachten met verhoogde rechten.
“De HTTP RPC-module voert een shell-commando uit om logboeken te schrijven wanneer de authenticatie van de gebruiker mislukt”, aldus de beschrijving van de kwetsbaarheid op CVE.org. “De gebruikersnaam wordt rechtstreeks aan het commando gekoppeld zonder enige opschoning. Hierdoor kunnen aanvallers willekeurige OS-commando’s in de gebruikersnaamparameter injecteren. Geïnjecteerde commando’s worden uitgevoerd met rootrechten.”
Het beveiligingslek werd in april 2026 onthuld door Forescout Research Vedere Labs als onderdeel van een bredere reeks kwetsbaarheden met de gezamenlijke codenaam BRIDGE:BREAK die van invloed waren op serieel-naar-IP-converters van Lantronix en Silex. Er zijn momenteel geen details over hoe de kwetsbaarheid wordt uitgebuit, of wie de moeite doet.
De onthulling komt op het moment dat CISA ook actieve exploitatie bevestigde van drie uiterst ernstige beveiligingsfouten in Ubiquity UniFi OS, dagen nadat Defused Cyber zei dat het in-the-wild misbruik had gedetecteerd van de keten voor het uitvoeren van externe code, bestaande uit CVE-2026-34908, CVE-2026-34909 en CVE-2026-34910 om standaardmalware in te zetten.
- CVE-2026-34908 – Een kwetsbaarheid bij onjuiste invoervalidatie waardoor een kwaadwillende actor met toegang tot het netwerk opdrachtinjectie kan uitvoeren
- CVE-2026-34909 – Een kwetsbaarheid bij het doorlopen van paden waardoor een kwaadwillende actor met toegang tot het netwerk toegang kan krijgen tot bestanden op het onderliggende systeem die kunnen worden gemanipuleerd om toegang te krijgen tot een onderliggend account.
- CVE-2026-34910 – Een kwetsbaarheid voor onjuiste toegangscontrole waardoor een kwaadwillende actor met toegang tot het netwerk ongeoorloofde wijzigingen aan het systeem kan aanbrengen.
Eerder deze maand heeft bisschop Fox een proof-of-concept (PoC) uitgewerkt waarin de drie tekortkomingen aan elkaar worden gekoppeld om in één verzoek een omgekeerde shell met volledige rootrechten te verkrijgen. Patches voor de tekortkomingen werden eind vorige maand door Ubiquiti uitgebracht.
“De kwetsbaarheden kunnen aanvallers op afstand in staat stellen ongeoorloofde systeemwijzigingen door te voeren, toegang te krijgen tot gevoelige bestanden, informatie vrij te geven of willekeurige opdrachten uit te voeren op kwetsbare systemen, wat een grote impact heeft op de vertrouwelijkheid, integriteit en beschikbaarheid van gerichte apparaten”, aldus het Belgische Centrum voor Cybersecurity.
“Gezien het feit dat UniFi OS-apparaten vaak centraal in netwerken zijn geïntegreerd, kunnen succesvolle compromissen laterale beweging en bredere netwerkcompromis mogelijk maken.”
