Lantronix 串口转以太网转换器漏洞在 OT 威胁警告后遭攻击利用

据网络安全机构 CISA 称，一个可能助长对运营技术（OT）系统攻击的漏洞正在野外被利用。

该漏洞编号为 CVE-2025-67038，影响 Lantronix EDS5000 串口转以太网设备服务器，这些设备使组织能够远程连接和管理其串行设备。

该漏洞可被未经认证的攻击者利用，将任意 OS 命令注入到用户名参数中，从而导致以 root 权限执行这些命令。

CVE-2025-67038 是网络安全公司 Forescout 于 4 月披露的 20 个串口转以太网产品漏洞之一。

这些漏洞统称为 BRIDGE:BREAK，影响 Lantronix 和 Silex 产品。研究人员展示了如何利用这些漏洞操纵工业和医疗环境中的传感器读数，以掩盖通常需要人工干预的危险状况，或通过恶意固件在医疗环境中造成破坏。

CISA 于 6 月 23 日将 CVE-2025-67038 添加到其已知被利用漏洞（KEV）目录中，指示联邦机构在 6 月 26 日前完成修复。

然而，目前似乎没有任何公开报告描述利用 Lantronix 产品漏洞的攻击。目前尚不清楚这些攻击是针对工业、医疗还是其他 OT 环境。

网络安全公司 Aviatrix 描述了一个涉及 CVE-2025-67038 的潜在攻击场景。一旦攻击者利用该漏洞以 root 权限执行代码，他们就可以完全控制该设备。

Aviatrix 在一份公告中解释道：被入侵的设备作为攻击者在网络内横向移动、针对其他连接系统的立足点。攻击者建立命令与控制通道，以远程管理被入侵的设备并发出进一步指令。

该公司补充道：敏感数据通过被入侵的设备从网络中窃取。攻击者通过修改配置或部署恶意软件来破坏网络操作，对组织的基础设施造成重大影响。

ZoomEye 显示有数千个暴露在互联网上的 Lantronix 系统（大部分在美国），但这些包括所有 Lantronix 产品，目前尚不清楚其中有多少容易受到攻击。

Lantronix 尚未回应 SecurityWeek 关于野外利用情况的置评请求。

更新： Forescout 于周四发布了一篇博客文章，提供了关于该漏洞被利用的更多细节。研究人员在 4 月 5 日（Lantronix 发布补丁之后，但 Forescout 公布 BRIDGE:BREAK 技术细节之前）在 Lantronix EDS5000 蜜罐中观察到了 CVE-2025-67038 的利用，这表明攻击者可能对补丁进行了逆向工程以开发漏洞利用代码。

该活动包括自动化的命令注入测试和 Lantronix 特定的指纹识别，表明攻击者知道他们的目标是什么。

研究人员发现，该活动与典型的僵尸网络或广泛漏洞扫描器的行为不一致。