Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 25.06.2026 · 3 min Lesezeit

CISA warnt: Kritische Lantronix EDS5000-Lücke CVE-2025-67038 wird aktiv ausgenutzt

CISA warnt vor CVE-2025-67038 (CVSS 9.8) in Lantronix EDS5000 Series. Die Lücke wird aktiv ausgenutzt, ermöglicht Code Injection mit Root-Rechten. Teil der BRIDGE:BREAK-Familie. Sofort patchen, Netzwerksegmentierung prüfen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
CISA Warnung zu kritischer Lantronix EDS5000 Lücke CVE 2025 67038 mit aktiv ausgenutztem Industrie Netzwerkgerät und Cybersecurity Alarm

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat am 24. Juni 2026 eine dringende Warnung zu einer kritischen Sicherheitslücke in Lantronix EDS5000 Series Geräten herausgegeben. Die Schwachstelle CVE-2025-67038 mit einem CVSS-Score von 9.8 (Critical) wird bereits aktiv ausgenutzt. Betroffen sind Serial-to-IP-Konverter der EDS5000 Series mit Firmware 2.1.0.0R3, darunter die Modelle EDS5008 und EDS5016.

Meldung und Einordnung

Am 24. Juni 2026 veröffentlichte The Hacker News einen detaillierten Bericht über die CISA-Warnung. Die Schwachstelle wurde von Forescout Research Vedere Labs im April 2026 entdeckt und ist Teil der BRIDGE:BREAK-Schwachstellenfamilie. Die CISA hat die Lücke in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Für FCEB-Behörden (Federal Civilian Executive Branch) gilt die Frist des BOD 26-04 bis zum 26. Juni 2026.

Die Lücke ist besonders kritisch, weil sie OT-Geräte (Operational Technology) betrifft, die in industriellen Umgebungen serielle Schnittstellen (RS232/RS422/RS485) ins Netzwerk bringen. Ein erfolgreicher Angriff ermöglicht die vollständige Kompromittierung des Geräts mit Root-Rechten, laterale Bewegung im OT-Netzwerk, Manipulation industrieller Kommunikation und potenzielle Auswirkungen auf Verfügbarkeit und Sicherheit von Produktionsanlagen.

Technische Details für Admins

MerkmalWert
CVE-IDCVE-2025-67038
CVSS-Score9.8 (Critical)
CVSS-VektorCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
SchwachstellentypCode Injection (CWE-94)
Betroffene FirmwareLantronix EDS5000 Series, Firmware 2.1.0.0R3
Betroffene ModelleEDS5008, EDS5016 u.a.
Entdeckt vonForescout Research Vedere Labs (April 2026)
CISA-Frist FCEB26. Juni 2026

Die Schwachstelle liegt im HTTP RPC Modul der Geräte. Bei fehlgeschlagener Authentifizierung führt das System einen Shell-Befehl aus, um Logs zu schreiben. Der Benutzername wird ohne jegliche Sanitisierung direkt mit dem Befehl konkateniert. Angreifer können beliebige OS-Befehle in das Username-Feld injizieren – diese werden mit Root-Privilegien ausgeführt.

Risiko für KMU und Betrieb

Die Lantronix EDS5000 Series wird häufig in industriellen Umgebungen eingesetzt, um ältere serielle Geräte (RS232/RS422/RS485) ins Netzwerk einzubinden. Typische Einsatzbereiche sind Produktionssteuerung, Gebäudeautomation, Energieversorgung und Logistik. In vielen KMU sind diese Geräte seit Jahren im Einsatz und werden selten aktualisiert.

Die BRIDGE:BREAK-Schwachstellenfamilie zeigt, dass Serial-to-IP-Konverter ein häufig übersehenes Sicherheitsrisiko darstellen. Diese Geräte sind oft direkt mit dem Internet verbunden oder über unzureichend segmentierte Netzwerke erreichbar. Ein erfolgreicher Angriff kann von der IT in die OT-Umgebung übergreifen und dort erheblichen Schaden anrichten.

Was Admins jetzt prüfen sollten

  1. Sofort patchen: Spielen Sie Updates gemäß Herstelleranweisungen von Lantronix ein. Prüfen Sie die Lantronix-Website auf verfügbare Patches.
  2. Netzwerksegmentierung prüfen: Stellen Sie sicher, dass OT-Netzwerke von IT-Netzwerken getrennt sind. Serial-to-IP-Konverter sollten nicht aus dem Internet erreichbar sein.
  3. Zugriffsbeschränkung: Die HTTP RPC-Schnittstelle sollte nicht dem Internet ausgesetzt sein. Nutzen Sie Firewall-Regeln, um den Zugriff auf vertrauenswürdige IP-Adressen zu beschränken.
  4. Monitoring aktivieren: Überwachen Sie auf ungewöhnliche Authentifizierungsversuche und Shell-Aktivitäten auf den Geräten.
  5. Bestandsaufnahme: Erfassen Sie alle Lantronix EDS5000-Geräte in Ihrem Netzwerk und prüfen Sie deren Firmware-Version.

Betriebscheck nach der Meldung

  1. Habe ich alle Lantronix EDS5000-Geräte in meinem Netzwerk erfasst?
  2. Sind alle Geräte auf dem aktuellen Patch-Stand?
  3. Sind die HTTP RPC-Schnittstellen vor dem Internet geschützt?
  4. Ist mein OT-Netzwerk ausreichend vom IT-Netzwerk segmentiert?
  5. Werden ungewöhnliche Authentifizierungsversuche überwacht?

Admin-Einschätzung

Die CVE-2025-67038 ist ein Paradebeispiel für die wachsende Bedrohung von OT-Geräten. Die Lücke ist technisch simpel (fehlende Input-Sanitisierung), aber die Auswirkungen sind gravierend (Root-Rechte auf OT-Geräten). Die Aufnahme in den CISA-KEV-Katalog und die aktive Ausnutzung zeigen, dass Angreifer gezielt nach solchen Schwachstellen suchen.

Für Admins bedeutet dies: OT-Sicherheit ist kein Nischenthema mehr. Geräte wie Serial-to-IP-Konverter müssen genauso streng verwaltet werden wie IT-Systeme. Patchmanagement, Netzwerksegmentierung und Monitoring sind auch in der OT-Umgebung unverzichtbar.

Passende Anleitungen auf S-EDV

  1. Netzwerksegmentierung für OT/IT-Sicherheit: Leitfaden für Admins – Grundlagen für die Trennung von OT- und IT-Netzwerken.
  2. Firewall-Regeln sicher konfigurieren: Best Practices für Admins – Sichere Firewall-Konfiguration für den Zugriffsschutz.

Quellen

  1. The Hacker News: CISA Warns Critical Lantronix EDS5000 Flaw Is Being Actively Exploited
  2. NVD: CVE-2025-67038 Detail
  3. CISA Known Exploited Vulnerabilities Catalog
  4. Forescout Vedere Labs: BRIDGE:BREAK (April 2026)
Verwandt

Weiter lesen

Alle Artikel →
AryStinger Botnetz infiziert tausende D Link Router weltweit mit Darstellung eines globalen Cyberangriffs, kompromittierten Routern, Botnetz Infrastruktur, weltweiten Netzwerkverbindungen und roter Sicherheitswarnung.
23.06.2026 ·2 min

AryStinger Botnetz infiziert tausende D-Link Router weltweit

Das AryStinger-Botnetz hat ueber 4.000 veraltete D-Link Router infiziert. Die Geraete werden als Proxy-Infrastruktur fuer Scans, Tunnel und Command-Execution missbraucht. Betroffen sind DIR-850L und DIR-818LW.
Oracle Free Tier Cloud Ressourcen werden ohne Ankündigung um 50 Prozent reduziert, dargestellt mit Cloud Dashboard, halbierten Compute Memory Storage Anzeigen und deaktivierten Server Instanzen.
23.06.2026 ·4 min

Oracle halbiert Free-Tier-Cloud-Ressourcen ohne Ankündigung

Oracle hat Anfang Juni 2026 die Ressourcen seines Always-Free-Angebots in der Oracle Cloud Infrastructure (OCI) gekürzt. Die Ampere-A1-Compute-Instanzen wurden von 4 OCPUs und 24 GB RAM auf 2 OCPUs und 12 GB RAM halbiert. Die Änderung erfolgte ohne offizielle Ankündigung, Blogpost oder E-Mail-Benachrichtigung. Deutsche IT-Portale haben bislang nicht berichtet – s-edv.com liefert die Erstberichterstattung.
Professionelle IT News Grafik zur LiteSpeed cPanel Plugin Sicherheitslücke CVE-2026-54420 im CISA KEV Kontext. Zu sehen sind ein Hosting Server, ein Plugin Dashboard mit Warnmeldung, ein CISA KEV Advisory Panel und ein Exploit Signal in moderner Cybersecu
17.06.2026 ·4 min

LiteSpeed-cPanel-Plugin: CVE-2026-54420 landet im CISA-KEV-Katalog

CVE-2026-54420 betrifft das LiteSpeed-cPanel-Plugin auf Shared-Hosting-Systemen mit CloudLinux/CageFS. Administratoren sollten Plugin-Versionen und Logspuren prüfen.