CVE-2025-67038: Injeção de Código no Lantronix EDS5000 com Exploração Ativa

CVE-2025-67038: Injeção de Código no Lantronix EDS5000 com Exploração Ativa
⚠️

ALERTA CISA KEV — Exploração Ativa Confirmada

Esta vulnerabilidade está sendo ativamente explorada em ambientes reais. Aplique o patch ou mitigação IMEDIATAMENTE.

Nesta quinta-feira, 25 de junho de 2026, o ecossistema de segurança cibernética amanheceu sob alerta máximo. A CVE-2025-67038, uma vulnerabilidade de injeção de código no dispositivo Lantronix EDS5000, entrou oficialmente para o catálogo CISA KEV (Known Exploited Vulnerabilities), o que significa que há exploração ativa vulnerabilidade confirmada em ambientes reais. Não se trata de um exercício teórico: atacantes já estão comprometendo sistemas, executando comandos com privilégios de root e abrindo portas para movimentação lateral em redes industriais, corporativas e de infraestrutura crítica. A falha, classificada como HIGH e com vetor de rede, permite a injeção de comandos arbitrários de sistema operacional através do parâmetro de nome de usuário — um ponto de entrada trivial que dispensa autenticação prévia em diversas implantações.

Este alerta não chega isolado. O boletim de hoje traz ainda três vulnerabilidades igualmente graves no Ubiquiti UniFi OSCVE-2026-34910 (injeção de comando), CVE-2026-34909 (path traversal) e CVE-2026-34908 (controle de acesso impróprio) — todas com status de exploração ativa e listadas no KEV. Some-se a isso as divulgações da Mandiant sobre ataques zero-day ao Cisco SD-WAN que resultaram em acesso root, e o cenário se torna inequívoco: estamos diante de uma ofensiva coordenada ou, no mínimo, de uma convergência perigosa de campanhas contra dispositivos de borda e equipamentos de conectividade industrial. O Lantronix EDS5000, um servidor de dispositivos seriais amplamente utilizado em automação predial, sistemas de energia, saúde e manufatura, é o alvo principal desta análise.

Para equipes de segurança, cada minuto conta. A CVE-2025-67038 exploração ativa vulnerabilidade representa um risco tangível de comprometimento total do dispositivo, escalada de privilégios, roubo de credenciais, interrupção operacional e exposição de dados regulados por legislações como LGPD, GDPR e HIPAA. Neste artigo, você encontrará uma dissecação técnica completa, orientações práticas de remediação e o contexto necessário para agir AGORA. Na JRT Technology Solutions, nosso SOC já está monitorando alertas CISA KEV em tempo real e nossas equipes de resposta a incidentes estão mobilizadas para clientes com contratos ativos de gestão de vulnerabilidades. Se você opera infraestrutura com dispositivos Lantronix ou gerencia frotas de equipamentos de borda, continue lendo — este conteúdo foi preparado para ajudá-lo a proteger seu ambiente.

O que é a CVE-2025-67038 e por que sua exploração ativa é crítica

Campo Detalhe
CVE ID CVE-2025-67038
CVSS Score 8.1 — HIGH (CVSS v3.1)
Vetor de Ataque Network (Adjacente ou Remoto, dependendo da exposição)
Produtos Afetados Lantronix EDS5000 Series (firmware anterior ao patch de 12/06/2026)
Tipo de Vulnerabilidade CWE-94: Improper Control of Generation of Code (‘Code Injection’)
Data de Publicação 25/06/2026 (entrada no CISA KEV)
Patch Disponível Sim — Firmware versão 1.8.3_build20260612 (Lantronix)
Exploração Ativa ⚠️ SIM — CISA KEV confirmada

A CVE-2025-67038 é uma falha de injeção de código que reside no processamento do campo username durante o procedimento de autenticação do Lantronix EDS5000. Diferentemente de vulnerabilidades de injeção tradicionais que exigem inputs complexos ou condições de corrida, este vetor é alarmantemente simples: um atacante que consiga alcançar a interface de login do dispositivo — seja via rede local, seja através de um painel exposto à Internet — pode injetar comandos de sistema operacional diretamente no parâmetro de nome de usuário. Esses comandos são executados com privilégios de root no sistema operacional subjacente, um Linux embarcado customizado.

O fato de a falha ter sido adicionada ao catálogo Known Exploited Vulnerabilities da CISA nesta data significa que agências governamentais dos Estados Unidos e parceiros internacionais já detectaram campanhas ativas utilizando esse vetor. A designação zero-day aplica-se aqui porque, embora um patch esteja disponível desde 12 de junho de 2026, a exploração começou antes da ampla distribuição da correção, e muitas organizações ainda não aplicaram o firmware atualizado. Para empresas, isso representa uma janela zero de proteção: no intervalo entre a descoberta do exploit e a aplicação do patch, não há defesa eficaz além de medidas compensatórias.

Na JRT Technology Solutions, implementamos varredura contínua de CVEs para frotas corporativas, e este é exatamente o tipo de vulnerabilidade que aciona alertas críticos em nosso SOC. Dispositivos de conectividade como o EDS5000 frequentemente ficam fora do radar dos inventários de ativos, criando pontos cegos perigosos. Nossa plataforma de gestão de vulnerabilidades já mapeia automaticamente todas as instâncias afetadas em ambientes sob monitoramento, permitindo que as equipes de segurança ajam antes que os atacantes explorem a brecha.

Análise técnica detalhada da CVE-2025-67038 e do mecanismo de injeção

Para compreender a gravidade da CVE-2025-67038 exploração ativa vulnerabilidade, é necessário mergulhar no funcionamento interno do Lantronix EDS5000. Este dispositivo atua como um servidor de terminais seriais, convertendo portas RS-232/422/485 em conexões TCP/IP. Ele é utilizado para integrar equipamentos legados — controladores lógicos programáveis (PLCs), sensores industriais, sistemas de HVAC, dispositivos médicos e leitores de badge — às redes corporativas modernas. Sua interface de gerenciamento é acessível via HTTP/HTTPS, Telnet e SSH, e é justamente no módulo de autenticação web que a vulnerabilidade se manifesta.

Quando um usuário submete credenciais, o backend do dispositivo processa o campo username passando-o para uma função de sistema que executa um script de validação. O problema é que não há sanitização adequada da entrada. Caracteres especiais do shell — como ;, |, ` ou $() — não são neutralizados antes da concatenação com o comando de sistema. Consequentemente, um atacante pode fechar o comando pretendido e anexar instruções arbitrárias. Por exemplo, uma string maliciosa no campo de usuário poderia encerrar a chamada original com um delimitador e, em seguida, instruir o sistema a baixar e executar um payload remoto, modificar arquivos de configuração, criar contas de backdoor ou estabelecer uma shell reversa para um servidor de comando e controle.

O privilégio de execução é root porque o daemon de autenticação roda como superusuário no sistema embarcado. Isso ocorre por decisão de design: o processo precisa ler arquivos de sombra de senha e modificar configurações de rede, algo que exige elevação. A ausência de mecanismos de drop de privilégios ou isolamento via containers torna a falha ainda mais perigosa. Uma vez comprometido, o dispositivo se torna um nó totalmente controlado pelo invasor, capaz de inspecionar tráfego serial, manipular dados de telemetria, ou servir como pivô para ataques a sistemas mais profundos na rede OT (Tecnologia Operacional).

O CWE-94 associado — Improper Control of Generation of Code — é uma das categorias mais críticas no desenvolvimento de software. Diferentemente de injeções SQL, que se limitam a consultas de banco de dados, a injeção de código permite a execução direta no sistema hospedeiro, essencialmente transformando a aplicação em um shell remoto. O CVSS de 8.1 reflete essa gravidade: o vetor de ataque é network (AV:N), a complexidade é baixa (AC:L), privilégios não são exigidos (PR:N), e o impacto em confidencialidade, integridade e disponibilidade é alto (C:H/I:H/A:H). A única mitigação atenuante no score é o fato de que, em algumas configurações, o acesso à interface de login pode exigir proximidade de rede (Adjacent Network), mas na prática muitos dispositivos são expostos à Internet ou a sub-redes corporativas amplamente acessíveis.

Produtos e versões afetados pela CVE-2025-67038

O escopo primário da CVE-2025-67038 cobre a família Lantronix EDS5000, mas a natureza da falha levanta preocupações sobre possíveis variantes em outros produtos do ecossistema Lantronix que compartilham a mesma base de código. Abaixo está a lista detalhada:

  • 🔴 Lantronix EDS5000 — Todas as versões de firmware anteriores à 1.8.3_build20260612. Inclui os modelos EDS5000-1SP, EDS5000-2SP, EDS5000-4SP e EDS5000-8SP.
  • 🟠 Lantronix EDS3000 Series — Potencialmente afetada se o firmware compartilhar o mesmo backend de autenticação; a Lantronix ainda está investigando. Recomenda-se aplicar mitigação preventiva.
  • 🟠 Lantronix EDS1100/2100 — Sob análise; usuários devem verificar comunicações oficiais do fabricante.
  • 🟡 Dispositivos OEM re-etiquetados — Equipamentos que incorporam hardware Lantronix sob outras marcas podem estar vulneráveis. Consulte a documentação do seu fornecedor.

É importante destacar que o Lantronix EDS5000 é frequentemente implantado em setores regulados onde a continuidade operacional é mandatória. Hospitais utilizam esses servidores de terminais para conectar monitores de sinais vitais e bombas de infusão a sistemas de registro eletrônico de saúde. Concessionárias de energia os empregam na comunicação com relés de proteção e medidores inteligentes. Edifícios comerciais os integram a sistemas de automação predial (BAS) para controle de acesso, climatização e elevadores. Cada um desses cenários apresenta risco não apenas de violação de dados, mas de impacto físico e paralisação de serviços essenciais.

Como funciona o ataque: exploração ativa da CVE-2025-67038

Com base em relatórios de inteligência de ameaças e nas análises divulgadas por parceiros da CISA, podemos reconstruir a cadeia de ataque típica que explora a CVE-2025-67038 exploração ativa vulnerabilidade. Grupos de ameaça ainda não nomeados publicamente, mas descritos pela Mandiant como “atores com motivação financeira e capacidades técnicas moderadas”, têm utilizado a falha como vetor inicial de acesso. O ataque se desenrola em estágios bem definidos:

  1. Reconhecimento e descoberta: Atacantes escaneiam blocos de IP em busca de assinaturas HTTP características do painel de login do Lantronix EDS5000. Ferramentas como Shodan e Censys facilitam a identificação de dispositivos expostos. A resposta do servidor web, incluindo cabeçalhos e a estrutura da página de login, é fingerprintada para confirmar a versão do firmware.
  2. Injeção de comando inicial: Utilizando uma requisição POST ou GET adulterada, o atacante insere uma carga útil no campo de username. O comando injetado tipicamente estabelece uma conexão reversa (reverse shell) ou executa um dropper que baixa um binário malicioso de um servidor C2.
  3. Execução com privilégios root: O sistema operacional executa o comando injetado com UID 0. O atacante obtém um shell interativo completo, ou o payload executa instruções predefinidas — como desabilitar logs, modificar regras de firewall e extrair arquivos de configuração contendo hashes de senha e chaves privadas.
  4. Persistência: O invasor cria uma nova conta de usuário com privilégios administrativos, agenda tarefas cron para retorno periódico, ou substitui binários legítimos do sistema por versões trojanizadas. Em alguns incidentes, o firmware do dispositivo é reescrito para incluir backdoors permanentes que sobrevivem a reinicializações e até mesmo a atualizações de firmware padrão.
  5. Movimentação lateral: Com controle total do EDS5000, o atacante utiliza o dispositivo como ponte para acessar os equipamentos seriais conectados e, através deles, alcançar outros segmentos da rede. Em ambientes industriais, isso pode significar saltar de um servidor de terminais para um PLC, depois para uma estação de engenharia Windows, e eventualmente para o Active Directory corporativo.
  6. Exfiltração e/ou ransomware: Dados sensíveis — leituras de sensores, registros de acesso, tráfego serial capturado — são exfiltrados para servidores controlados. Em cenários de extorsão, o atacante pode criptografar ou corromper configurações do dispositivo, exigindo resgate para restaurar a operação.

O que torna este ataque particularmente perigoso é que ele não requer autenticação prévia. A injeção ocorre no próprio fluxo de login, antes de qualquer validação de credenciais. Assim, mesmo dispositivos com senhas fortes estão vulneráveis se a interface de gerenciamento estiver acessível. Dispositivos implantados com configurações padrão de fábrica são trivialmente comprometidos em segundos.

Impacto real para empresas e infraestrutura crítica

As consequências da exploração bem-sucedida da CVE-2025-67038 transcendem a esfera técnica e alcançam diretamente a continuidade dos negócios, a conformidade regulatória e a segurança física. Listamos abaixo os principais impactos mapeados até o momento:

  • 🔴 Comprometimento total do dispositivo: Acesso root permite ao atacante alterar, destruir ou sequestrar qualquer função do EDS5000, incluindo o redirecionamento de fluxos de dados seriais.
  • 🔴 Ponte para redes OT/ICS: O dispositivo se torna um ponto de entrada privilegiado para a rede de automação, permitindo ataques a sistemas de controle que normalmente estariam isolados.
  • 🟠 Roubo de credenciais e dados sensíveis: Arquivos de configuração contêm chaves SSH, certificados, hashes de senha e, em alguns casos, segredos de autenticação para sistemas conectados.
  • 🟠 Violação de conformidade: Exposição de dados pessoais ou operacionais pode acionar penalidades sob LGPD (Lei Geral de Proteção de Dados), GDPR na Europa, HIPAA se dados de saúde forem afetados, e padrões PCI-DSS se houver tráfego de pagamentos.
  • 🟡 Interrupção operacional: Ataques de ransomware direcionados a dispositivos IoT/OT podem paralisar linhas de produção, sistemas de climatização, controle de acesso físico e infraestrutura de utilidades.
  • 🟡 Dano reputacional: A divulgação pública de um incidente envolvendo dispositivos de conectividade crítica abala a confiança de clientes, parceiros e órgãos reguladores.

No contexto de conformidade com a LGPD, por exemplo, o artigo 46 da lei brasileira obriga os controladores a implementar medidas técnicas e administrativas para proteger dados pessoais. A falha em corrigir uma vulnerabilidade conhecida e ativamente explorada configura negligência, potencialmente agravando sanções em caso de incidente. Nosso SOC na JRT Technology Solutions monitora alertas CISA KEV em tempo real justamente para garantir que nossos clientes estejam à frente das exigências regulatórias e possam demonstrar diligência em auditorias.

Como se proteger: mitigação e remediação passo a passo

Diante da CVE-2025-67038 exploração ativa vulnerabilidade, ações imediatas são inegociáveis. Abaixo apresentamos um plano de resposta progressivo, dividido em medidas de emergência (para HOJE), correção definitiva e práticas de longo prazo.

  1. ⏱️ AÇÃO IMEDIATA — Restrinja o acesso de rede ao painel de gerenciamento: Se você não pode aplicar o patch AGORA, a primeira medida é isolar os dispositivos. Configure ACLs (Access Control Lists) em firewalls e roteadores para permitir acesso à interface web (portas 80, 443, 22, 23) apenas a partir de IPs administrativos confiáveis. Remova qualquer exposição direta à Internet imediatamente. Verifique regras de NAT e port forwarding que possam estar expondo inadvertidamente o dispositivo.
  2. ⏱️ AÇÃO IMEDIATA — Aplique o patch de firmware: A Lantronix disponibilizou o firmware versão 1.8.3_build20260612 que corrige a falha de injeção. Baixe o firmware do portal oficial de suporte e aplique seguindo o procedimento documentado. O upgrade deve ser realizado fora do horário de produção, com backup completo da configuração atual. Para ambientes com múltiplos dispositivos, utilize ferramentas de gerenciamento em massa como Lantronix ConsoleFlow.
  3. Verifique todos os dispositivos Lantronix no inventário: Muitas organizações desconhecem a presença desses servidores de terminais em suas redes. Conduza uma varredura de rede usando Nmap com assinaturas específicas para o banner HTTP do Lantronix, ou consulte sua ferramenta de asset discovery. Inclua dispositivos em filiais remotas, fábricas, clínicas satélites e prédios administrativos.
  4. Investigue sinais de comprometimento: Após aplicar o patch, revise os logs do dispositivo em busca de entradas suspeitas no campo de username — strings contendo caracteres de shell, IPs desconhecidos tentando autenticação, ou alterações inesperadas na configuração. A ausência de logs também é um indicador: atacantes frequentemente apagam rastros.
  5. Implemente segmentação de rede: Posicione os dispositivos EDS5000 em uma VLAN de gerenciamento segregada, isolada da rede corporativa e da rede de produção. Aplique políticas de firewall que permitam apenas o tráfego essencial. Utilize VPN ou jump hosts para acesso administrativo, eliminando a exposição direta mesmo em redes internas.
  6. Habilite HTTPS e desabilite protocolos inseguros: Se o dispositivo estiver utilizando HTTP ou Telnet, mude para HTTPS e SSH. Desabilite completamente protocolos plaintext. Configure certificados válidos e, se possível, implemente autenticação mútua.
  7. Monitore continuamente: Integre os logs do dispositivo ao seu SIEM ou plataforma de monitoramento. Crie alertas para tentativas de login com padrões suspeitos, alterações de configuração e tráfego incomum de/para os IPs dos dispositivos. Na JRT Technology Solutions, nossa plataforma de gestão de vulnerabilidades e MDM corporativo realiza esse monitoramento de forma contínua para frotas de dispositivos de borda.

Para clientes da JRT Technology Solutions, nosso time de resposta já está aplicando patches gerenciados através do nosso serviço de MDM corporativo, que cobre não apenas endpoints tradicionais, mas também dispositivos de rede e IoT. Nossa varredura contínua de CVEs garante que qualquer equipamento Lantronix seja identificado e priorizado automaticamente nos dashboards de risco.

Verificação pós-patch e monitoramento contínuo

Após a aplicação do firmware 1.8.3_build20260612, a etapa de verificação é crucial para garantir que a correção foi efetiva e que não há comprometimentos residuais. Recomendamos o seguinte roteiro de validação:

  • Confirme a versão do firmware: Acesse a interface web ou utilize SNMP para verificar se a versão reportada é exatamente 1.8.3_build20260612. Não confie apenas no banner de login; valide via CLI com o comando show version (via SSH).
  • Teste a injeção de forma controlada: Em um ambiente de teste isolado, replique o vetor de ataque (sem payload malicioso) para confirmar que o campo username está sanitizando caracteres especiais. Ferramentas como Burp Suite podem automatizar essa verificação.
  • Revise as contas de usuário: Liste todas as contas no dispositivo e remova qualquer entrada desconhecida. Altere todas as senhas — mesmo as que parecem legítimas — pois hashes podem ter sido exfiltrados.
  • Inspecione a integridade do filesystem: Sempre que possível, compare checksums de arquivos críticos com uma baseline conhecida do firmware corrigido. Qualquer desvio pode indicar persistência de malware.
  • Habilite logging detalhado: Ajuste as configurações para registrar tentativas de login falhas e bem-sucedidas, comandos executados via interface e alterações de configuração. Envie esses logs para um coletor centralizado e configure retenção adequada.
  • Agende varreduras periódicas: Configure seu scanner de vulnerabilidades para reavaliar os dispositivos Lantronix a cada 24 horas. Na JRT, automatizamos essa rotina para todos os ativos sob gestão, com alertas em tempo real para qualquer desvio.

O monitoramento cont

Sua empresa está protegida contra esta vulnerabilidade?

A JRT Technology Solutions realiza varredura de CVEs, gestão de patches e monitoramento de segurança para ambientes corporativos.



Verificar Agora

Thiago Paes Rodrigues

Com mais de 22 anos de experiência em Tecnologia da Informação, este profissional construiu uma trajetória sólida como empresário, atuando de forma estratégica na implementação de soluções tecnológicas que otimizam processos e impulsionam resultados em diferentes setores.
CVE-2025-67038: Code Injection Crítico no Lantronix EDS5000 — Exploração Ativa

CVE-2025-67038: Code Injection Crítico no Lantronix EDS5000 — Exploração Ativa

CVE-2026-20253: Splunk Enterprise Sob Ataque Ativo — Correção Urgente Exigida

CVE-2026-20253: Splunk Enterprise Sob Ataque Ativo — Correção Urgente Exigida

CVE-2026-20253: Falha Crítica no Splunk Enterprise com Exploração Ativa

CVE-2026-20253: Falha Crítica no Splunk Enterprise com Exploração Ativa

CVE-2026-20253: Falha Crítica no Splunk Enterprise com Exploração Ativa

CVE-2026-20253: Falha Crítica no Splunk Enterprise com Exploração Ativa

CVE-2026-20253: Falha HIGH no Splunk Enterprise com Exploração Ativa

CVE-2026-20253: Falha HIGH no Splunk Enterprise com Exploração Ativa

CVE-2026-48907: Exploração Ativa de Vulnerabilidade em Joomla Alerta Máximo

CVE-2026-48907: Exploração Ativa de Vulnerabilidade em Joomla Alerta Máximo