Lantronix EDS5000 (CVE-2025-67038) aktiv ausgenutzt — OT-Schwachstelle jetzt im CISA-KEV

Kurzfazit
CISA hat vier Schwachstellen in den KEV-Katalog aufgenommen, darunter CVE-2025-67038 im Lantronix-EDS5000-Serial-to-IP-Converter (CVSS 9.8). Eine Command-Injection im HTTP-RPC-Modul wird laut Bericht aktiv ausgenutzt — nach einer vorausgegangenen OT-Bedrohungswarnung. Die Lücke stammt aus dem im April offengelegten BRIDGE:BREAK-Forschungsprojekt.
Was ist passiert?
CISA hat am 23. Juni 2026 vier Schwachstellen aufgrund nachgewiesener aktiver Ausnutzung in den Known-Exploited-Vulnerabilities-Katalog (KEV) aufgenommen. Im Fokus der Berichterstattung steht CVE-2025-67038 im Lantronix EDS5000 Serial-to-IP-Converter (CVSS 9.8). Laut CVE-Beschreibung führt das HTTP-RPC-Modul beim Fehlschlagen der Authentifizierung einen Shell-Befehl zum Schreiben von Logs aus, wobei der Benutzername direkt mit dem Befehl verkettet wird — eine klassische Command-Injection. Die Schwachstelle wurde im Rahmen des im April offengelegten Forschungsprojekts BRIDGE:BREAK publiziert und wird nun, nach einer OT-Bedrohungswarnung, aktiv ausgenutzt.
Warum ist das relevant?
Serial-to-IP-Converter verbinden ältere serielle OT-Geräte mit IP-Netzen und sitzen damit an einer sensiblen Schnittstelle zwischen IT und OT. Eine ausnutzbare Command-Injection auf einem solchen Edge-Gerät kann Angreifern einen Brückenkopf in OT-Umgebungen verschaffen — Umgebungen, in denen Patchen oft erschwert ist. Der KEV-Status bestätigt die aktive Ausnutzung.
Betroffene Branchen und Technologien
Betroffen sind Organisationen mit Lantronix-EDS5000-Geräten, typischerweise im OT-/Industrieumfeld. Eine darüber hinausgehende branchenspezifische Eingrenzung geht aus den Quellen nicht hervor. CISA hat im selben Schritt drei weitere Schwachstellen (CVE-2026-34908, CVE-2026-34909 sowie eine weitere) in den KEV aufgenommen; zu deren Details liegen in den Rohdaten keine belastbaren Angaben vor.
Priorisierungssignale
- CISA-KEV — aktive Ausnutzung bestätigt
- CVSS 9.8 (kritisch)
- OT-Edge-Gerät an der IT/OT-Schnittstelle
- Vorausgegangene OT-Bedrohungswarnung
(Der EPSS-Wert ist mit 1% niedrig; maßgeblich ist hier die bestätigte aktive Ausnutzung, nicht die statistische Prognose.)
Defensive Empfehlungen
- Lantronix-EDS5000-Geräte inventarisieren und auf den verfügbaren Hersteller-Fix bzw. Workaround für CVE-2025-67038 aktualisieren.
- Management-/HTTP-Schnittstellen dieser Geräte vom Internet und von nicht vertrauenswürdigen Netzen trennen.
- IT/OT-Segmentierung prüfen und Zugriff auf serielle Gateways strikt einschränken.
- Geräteprotokolle auf fehlgeschlagene Authentifizierungen mit auffälligen Benutzernamen (Indikator für Injection-Versuche) prüfen.
Quellenhinweise
Grundlage sind die CISA-KEV-Aufnahme sowie die Berichterstattung von SecurityWeek. Der CVSS-Wert (9.8) stammt aus den verknüpften Schwachstellendaten; weitere Details zu den drei zusätzlichen KEV-Einträgen lagen nicht strukturiert vor.
Was Security-Teams jetzt prüfen sollten
- 1Lantronix-EDS5000-Geräte inventarisieren und Hersteller-Fix/Workaround für CVE-2025-67038 einspielen.
- 2HTTP-/Management-Schnittstellen der Geräte vom Internet und untrusted Netzen trennen.
- 3IT/OT-Segmentierung prüfen und Zugriff auf serielle Gateways strikt beschränken.
- 4Geräteprotokolle auf fehlgeschlagene Logins mit auffälligen Benutzernamen (Injection-Indikator) prüfen.
- 5Die übrigen drei KEV-Einträge dieses CISA-Updates gegen das eigene Inventar abgleichen.
Relevante CVEs
Quellenhinweise
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 28. Juni 2026