AbejaIT AbejaIT

CISA: krytyczna luka Lantronix EDS5000 (CVE-2025-67038) aktywnie wykorzystywana – deadline 26 czerwca

02.07.2026

CISA ostrzega przed aktywnym wykorzystywaniem krytycznej luki CVE-2025-67038 (CVSS 9.8) w urządzeniach Lantronix EDS5000, która umożliwia zdalne wykonanie kodu. Agencje federalne FCEB mają czas do 26 czerwca 2026 roku na wdrożenie dostępnych poprawek. Organizacje korzystające z tych urządzeń powinny niezwłocznie zweryfikować posiadane wersje oprogramowania i zastosować aktualizacje producenta.

Amerykańska Agencja Cyberbezpieczeństwa (CISA) dodała CVE-2025-67038 do katalogu Known Exploited Vulnerabilities (KEV), potwierdzając aktywną eksploatację krytycznej luki w serwerach urządzeń Lantronix EDS5000. Podatność o ocenie CVSS 9.8 umożliwia zdalne wykonanie kodu bez uwierzytelnienia – jeden z najpoważniejszych typów zagrożeń w infrastrukturze OT/IoT. Agencje federalne FCEB mają obowiązek remediacji do 26 czerwca 2026 roku; polskie firmy B2B korzystające z tych urządzeń powinny traktować ten termin jako równie wiążący z perspektywy ryzyka operacyjnego.

Czym jest Lantronix EDS5000

Lantronix EDS5000 to serwery urządzeń (device servers) umożliwiające podłączenie sprzętu szeregowego, sensorów przemysłowych i legacy equipment do sieci IP. Są powszechnie stosowane w produkcji, logistyce, healthcare i infrastrukturze budynkowej – często poza bezpośrednią widocznością działu IT. Urządzenia te działają latami bez aktualizacji firmware, co czyni je idealnym celem dla atakujących skanujących internet w poszukiwaniu RCE na znanych portach.

Kompromitacja EDS5000 daje atakującemu punkt foothold w sieci OT lub segmentie DMZ, z możliwością pivotu do systemów SCADA, ERP i stacji roboczych administracyjnych.

Dlaczego CISA KEV ma znaczenie globalne

Chociaż deadline CISA dotyczy agencji federalnych USA, wpis w KEV jest sygnałem dla całego rynku: podatność jest aktywnie wykorzystywana w wild, nie teoretycznie. Cybercriminal groups i państwowi aktorzy rutynowo skanują internet pod kątem urządzeń z KEV-listed CVE. Polskie organizacje objęte NIS2 i KSC2 powinny mapować KEV na własną infrastrukturę jako priorytet remediacji.

  • Skanowanie – zidentyfikuj wszystkie Lantronix EDS5000 w sieci (Shodan, CMDB, skan portów).
  • Wersjonowanie – porównaj firmware z wersją zawierającą łatkę producenta.
  • Izolacja – urządzenia bez możliwości patchowania umieść za firewall z restrykcyjnym ACL.
  • Monitoring – alerty na nietypowy ruch do/z device serverów.

OT/IoT w polskich firmach B2B

Wiele polskich firm produkcyjnych i logistycznych nie traktuje urządzeń OT jako części programu bezpieczeństwa IT. EDS5000 i podobne device servery często są instalowane przez integratorów automatyki bez wiedzy CISO. Incydent CVE-2025-67038 to okazja do pełnej inwentaryzacji OT/IoT – nie tylko Lantronix, lecz wszystkich urządzeń z interfejsem web admin i domyślnymi hasłami.

Segmentacja sieci OT od IT (Purdue model, VLAN-y, firewalle) ogranicza skutki RCE na device serverze. Zero Trust dla dostępu administracyjnego – jump hosty, MFA, brak ekspozycji interfejsów zarządzania na internet – to standard, który powinien obowiązywać niezależnie od deadline'u CISA.

Remediacja przed 26 czerwca 2026

Plan działania powinien obejmować: potwierdzenie listy dotkniętych urządzeń, pobranie łatki z Lantronix, test w środowisku staging (jeśli OT na to pozwala), wdrożenie produkcyjne w oknie maintenance oraz weryfikację braku IoC po patchu. Równolegle – threat hunting w logach firewall i SIEM za okresem potencjalnej eksploatacji.

Organizacje bez kompetencji OT security mogą skorzystać z audytu infrastruktury IT obejmującego warstwę urządzeń przemysłowych i IoT. Wspieramy firmy B2B w budowie spójnych programów asset management obejmujących IT i OT.

Integracja OT z programem bezpieczeństwa IT

Urządzenia Lantronix EDS5000 często są wdrożone przez dział utrzymania ruchu lub produkcji bez udziału IT. Program bezpieczeństwa musi objąć te zespoły – wspólne spotkania, wspólna inwentaryzacja i jasne SLA na aktualizacje firmware. OT asset management (Nozomi, Claroty, lub prostsze CMDB) powinien być źródłem prawdy o wszystkich device serverach w fabryce i magazynie.

Testy penetracyjne OT corocznie powinny obejmować skanowanie portów device serverów i próby domyślnych poświadczeń – proste testy często ujawniają ekspozycję, o której IT nie wiedziało.

Monitoring ciągłe urządzeń OT

Po remediacji CVE-2025-67038 organizacje powinny wdrożyć continuous monitoring urządzeń OT: baseline konfiguracji, alerty na zmianę firmware version, alerty na nowe połączenia wychodzące z segmentu OT. Rozwiązania klasy OT IDS analizują protokoły przemysłowe (Modbus, Profinet) pod kątem anomalii – uzupełnienie klasycznego IT security dla device serverów Lantronix.

Współpraca z producentem maszyn i integratorem automatyki przy patchowaniu EDS5000 często wymaga okna postoju produkcji – planowanie z wyprzedzeniem z działem operacyjnym minimalizuje straty biznesowe.

Przypadek Lantronix EDS5000 powinien trafić do rejestru ryzyka OT organizacji z oceną prawdopodobieństwa i wpływu oraz właścicielem remediacji z działu produkcji i IT wspólnie. Bez formalnego rejestru podobne urządzenia pozostaną niewidoczne do następnego CVE – cykl, który powtarza się w każdej fabryce i centrum logistycznym.

Rozważ ubezpieczenie cyber z klauzulą OT – polisy coraz częściej wymagają dowodu patch managementu urządzeń przemysłowych jako warunku wypłaty odszkodowania po incydencie RCE.

Podsumowanie

CVE-2025-67038 w Lantronix EDS5000 to krytyczne, aktywnie wykorzystywane RCE wymagające natychmiastowej remediacji. Deadline 26 czerwca 2026 to sygnał pilności – nie czekaj na formalne wymogi regulacyjne. Zapraszamy do usług IT dla firm w zakresie audytu OT/IoT i patch management.

Źródło: The Hacker News – CISA Warns Critical Lantronix EDS5000 Flaw Is Being Actively Exploited