Американское агентство CISA сообщило об активной эксплуатации критической уязвимости в устройствах Lantronix EDS5000 Series. Речь идёт о проблеме CVE-2025-67038 с оценкой 9,8 балла по CVSS: она позволяет внедрить команды и выполнить их с правами root.

Для корпоративных сетей это не абстрактная история из лаборатории. Такие устройства часто стоят на стыке сетевой инфраструктуры и промышленного оборудования, а значит, одна дыра может открыть путь дальше по внутренней сети.

Что именно нашли и почему это опасно

Уязвимость связана с модулем HTTP RPC. По описанию CVE.org, при неудачной проверке аутентификации устройство пишет лог через команду shell, а имя пользователя подставляет в неё без нормальной очистки.

Именно это и ломает защиту. Злоумышленник может вписать в поле логина собственную команду, а устройство выполнит её с правами root.

По сути, это классическая command injection — инъекция команд. После такого атака уже не ограничивается одним устройством: дальше возможны кража данных, подмена настроек и движение внутри сети.

Какие есть сценарии защиты

Первый и самый очевидный шаг — установка исправлений. Если у вас есть Lantronix EDS5000 или похожие сетевые конвертеры, их нужно проверить в инвентаре и сверить с рекомендациями производителя.

Второй шаг — ограничить доступ к админским интерфейсам. Управление такими устройствами не должно торчать в общую сеть без нужды: чем меньше круг тех, кто видит панель, тем меньше шансов на атаку.

Третий вариант — сегментация. Если устройство всё же скомпрометируют, отдельный сегмент сети не даст атаке быстро добраться до рабочих станций, серверов и систем хранения.

Четвёртый слой — мониторинг. Странные запросы к web-интерфейсу, новые учётные записи, неожиданные команды в логах и резкие изменения конфигурации часто выдают попытку взлома раньше, чем ущерб станет заметным.

По логике это похоже на то, как компании выстраивают защиту вокруг других уязвимых сервисов: сначала быстро закрывают дыру, потом режут лишний доступ и только затем наводят порядок в логах. Подход похож на тот, что мы уже разбирали в материале о поиске уязвимостей до выката в прод.

Кому какой подход нужен

Малому бизнесу обычно хватает двух вещей: обновлений и контроля доступа. Если сетевое оборудование одно-два устройства, главное — не забыть про прошивку и не оставлять админку открытой всем подряд.

Средним и крупным компаниям нужен уже набор мер. Здесь важны инвентаризация, сегментация, журналирование и регулярная проверка того, какие устройства вообще висят в сети.

Если вы отвечаете за офисную инфраструктуру с удалёнными площадками, стоит смотреть ещё и на каналы администрирования. Для таких сценариев полезен [аккуратный инструмент для защищённого доступа к рабочим сервисам]https://freedome.space, особенно когда админам нужно заходить к оборудованию из открытых сетей в поездках или командировках.

Что делать прямо сейчас

  • Проверьте, есть ли в сети устройства Lantronix EDS5000 Series или похожие serial-to-IP конвертеры.
  • Сверьте версии прошивок с рекомендациями производителя и поставьте исправления как можно быстрее.
  • Ограничьте доступ к панели администрирования только нужными адресами и сотрудниками.
  • Разделите такие устройства по отдельному сетевому сегменту.
  • Посмотрите логи на странные запросы, ошибки входа и необычные команды.
  • Убедитесь, что резервные настройки и учётные данные хранятся отдельно и под контролем.
  • Если админы подключаются из кафе, аэропортов или отелей, используйте дополнительный слой приватности для рабочих подключений.
  • Подпишитесь на уведомления CISA и вендора по уязвимостям для сетевого оборудования.
Поделиться: