Inyección de comandos a nivel root en Lantronix EDS5000 (CVE-2025-67038)

El problema

Los device servers de la familia Lantronix EDS5000 —concretamente los modelos EDS5008, EDS5016 y EDS5032, todos bajo el firmware 2.1.0.0R3— contienen un fallo de inyección de comandos OS que obtiene la máxima puntuación práctica en la escala CVSS 3.1: 9.8 (CRITICAL).

El origen del problema se encuentra en el módulo HTTP RPC del dispositivo. Cuando un intento de autenticación fracasa, dicho módulo lanza un comando de shell para registrar el evento. El campo de nombre de usuario que introduce el cliente se incorpora literalmente a ese comando, sin validación ni escapado previo. Cualquier atacante que envíe un nombre de usuario convenientemente manipulado puede, por tanto, hacer que el dispositivo ejecute instrucciones arbitrarias del sistema operativo.

Lo que agrava especialmente la situación es que la ejecución ocurre con privilegios de root, otorgando control total sobre el dispositivo desde el primer intento, y que el ataque es completamente remoto y no requiere autenticación previa (AV:N/AC:L/PR:N/UI:N), lo que elimina cualquier barrera técnica significativa para un adversario.

El CWE asignado es CWE-94 (Improper Control of Generation of Code), aunque en la práctica el vector de ataque se comporta como una inyección de comandos de shell clásica.

Superficie de exposición

Los EDS5000 son device servers industriales diseñados para conectar dispositivos serie a redes Ethernet en entornos OT y de automatización. Su presencia en redes industriales, con frecuencia escasamente segmentadas y expuestas a internet para tareas de mantenimiento remoto, amplía considerablemente el radio de impacto potencial.

Los productos afectados confirmados son:

  • Lantronix EDS5008 (firmware incluido)
  • Lantronix EDS5016 (firmware incluido)
  • Lantronix EDS5032 (firmware incluido)

Respuesta institucional

CISA ha emitido el aviso de sistemas de control industrial ICSA-26-069-02 y ha incorporado este CVE a su catálogo de Known Exploited Vulnerabilities (KEV), señal inequívoca de que existe evidencia de explotación activa en entornos reales. Las organizaciones sujetas a la Binding Operational Directive 22-01 están obligadas a remediar este tipo de vulnerabilidades en plazos estrictos.

Recomendaciones inmediatas

  1. Inventariar todos los dispositivos Lantronix EDS5008, EDS5016 y EDS5032 desplegados en la red.
  2. Aislar de internet cualquier interfaz de gestión HTTP de estos equipos mientras no exista un parche disponible o se haya aplicado una mitigación efectiva.
  3. Revisar los advisory oficiales de Lantronix y CISA para aplicar actualizaciones de firmware en cuanto estén disponibles.
  4. Monitorizar los intentos de autenticación fallida anómalos en estos dispositivos, especialmente los que contengan caracteres especiales de shell (; | & $( )) en el campo de usuario.
  5. Aplicar segmentación de red estricta para limitar el acceso al puerto de gestión únicamente a rangos de IP administrativos conocidos.

¿Estás cubierto en DefensOps?

DefensOps detecta actividad relacionada con esta vulnerabilidad mediante su motor de correlación genérico, disponible desde el plan Essential. Aunque CVE-2025-67038 no tiene una técnica MITRE ATT&CK específica mapeada en este momento, el motor de correlación es capaz de identificar patrones de comportamiento anómalos asociados a intentos de explotación, como ráfagas de autenticaciones fallidas con valores inusuales en el campo de usuario o tráfico HTTP inesperado hacia puertos de gestión de dispositivos OT.

¿Tienes dispositivos Lantronix EDS5000 en tu infraestructura? Comprueba tu nivel de cobertura y protege tu entorno antes de que un atacante lo haga por ti.

👉 Consulta los planes y solicita una demo en DefensOps


Fuente principal: The Hacker News — CISA Warns Critical Lantronix EDS5000 | CISA ICS Advisory ICSA-26-069-02 | CISA KEV — CVE-2025-67038