La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió el martes sobre la explotación activa de una falla de seguridad crítica que afecta a los dispositivos de la serie Lantronix EDS5000, e instó a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las correcciones antes del 26 de junio de 2026.
La vulnerabilidad en cuestión es CVE-2025-67038 (Puntuación CVSS: 9,8), una falla de inyección de código que podría resultar en la ejecución de comandos arbitrarios con privilegios elevados.
“El módulo HTTP RPC ejecuta un comando de shell para escribir registros cuando falla la autenticación del usuario”, según la descripción de la vulnerabilidad en CVE.org. “El nombre de usuario se concatena directamente con el comando sin ningún tipo de desinfección. Esto permite a los atacantes inyectar comandos arbitrarios del sistema operativo en el parámetro de nombre de usuario. Los comandos inyectados se ejecutan con privilegios de root”.
La falla de seguridad fue revelada por Forescout Research Vedere Labs en abril de 2026 como parte de un conjunto más amplio de vulnerabilidades con nombre en código BRIDGE:BREAK que afectó a los convertidores de serie a IP de Lantronix y Silex. Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad ni quién está haciendo el esfuerzo.
La divulgación se produce cuando CISA también confirmó la explotación activa de tres defectos de seguridad de máxima gravedad en el sistema operativo Ubiquity UniFi, días después de que Defused Cyber dijera que detectó un abuso en la cadena de ejecución remota de código que comprende CVE-2026-34908, CVE-2026-34909 y CVE-2026-34910 para implementar malware básico.
- CVE-2026-34908: una vulnerabilidad de validación de entrada incorrecta que podría permitir que un actor malintencionado con acceso a la red realice una inyección de comandos.
- CVE-2026-34909: una vulnerabilidad de recorrido de ruta que podría permitir que un actor malintencionado con acceso a la red acceda a archivos en el sistema subyacente que podrían manipularse para acceder a una cuenta subyacente.
- CVE-2026-34910: una vulnerabilidad de control de acceso inadecuado que podría permitir que un actor malintencionado con acceso a la red realice cambios no autorizados en el sistema.
A principios de este mes, Bishop Fox detalló una prueba de concepto (PoC) que encadena las tres deficiencias para obtener un shell inverso con privilegios de root completos en una sola solicitud. Ubiquiti lanzó parches para las fallas a fines del mes pasado.
“Las vulnerabilidades podrían permitir a atacantes remotos realizar cambios no autorizados en el sistema, acceder a archivos confidenciales, revelar información o ejecutar comandos arbitrarios en sistemas vulnerables, lo que afectaría en gran medida la confidencialidad, integridad y disponibilidad de los dispositivos objetivo”, dijo el Centro de Ciberseguridad de Bélgica.
“Dado que los dispositivos UniFi OS a menudo están integrados centralmente en las redes, un compromiso exitoso podría permitir un movimiento lateral y un compromiso más amplio de la red”.
