文章总结: CISA确认LantronixEDS5000系列串口转IP设备存在高危漏洞CVE-2025-67038,攻击者无需认证即可通过命令注入以root权限完全控制设备。该漏洞已被在野利用,且攻击发生在补丁发布后、技术细节公开前,攻击者可能通过逆向分析补丁快速开发利用程序,大幅压缩企业修复窗口。全球近2万台相关设备暴露于互联网,主要部署于关键基础设施。建议用户尽快升级固件、关闭不必要互联网访问、修改默认口令并加强OT边缘设备防护。 综合评分: 88 文章分类: 漏洞分析,OT安全,应急响应,威胁情报,工业安全
Lantronix工业设备高危漏洞遭在野利用,暴露OT设备补丁窗口期风险
原创
铸盾安全 铸盾安全
河南等级保护测评
2026年6月28日 06:24 河南
在小说阅读器读本章
去阅读
美国网络安全和基础设施安全局(CISA)近日确认,工业联网设备厂商Lantronix一项高危漏洞已被攻击者在真实环境中利用,并将其列入已知被利用漏洞(Known Exploited Vulnerabilities,KEV)目录。该漏洞编号为CVE-2025-67038,影响Lantronix EDS5000系列串口转IP(Serial-to-IP)设备服务器,攻击者无需身份认证即可通过命令注入漏洞,以Root权限执行任意系统命令,从而完全控制设备。
此次事件源于Forescout Vedere Labs今年4月发布的BRIDGE研究。研究人员共披露了22个此前未知的安全漏洞,涉及Lantronix和Silex两家厂商的串口转IP设备。其中包括远程代码执行、命令注入、身份认证绕过、权限提升等多种高危漏洞。研究团队同时发现,全球约有近2万台相关设备直接暴露在互联网,其中大量部署于制造、能源、电力、水务、交通、医疗等关键基础设施环境。
串口转IP设备虽然体积较小,却是工业控制系统(ICS)中的关键通信节点,主要负责将传统串口设备(如PLC、RTU、工业传感器、仪器仪表等)接入现代TCP/IP网络,实现远程监控和管理。由于这些设备通常位于IT网络与OT网络之间,一旦被攻陷,攻击者不仅能够控制设备本身,还可能篡改串口通信数据、伪造工业控制指令,甚至作为跳板进一步横向移动至生产控制网络,对工业生产过程造成影响。
更值得关注的是,Forescout在后续分析中发现,针对CVE-2025-67038的攻击发生在漏洞补丁发布之后、技术细节公开之前。研究人员部署的蜜罐记录到攻击者成功利用该漏洞,而当时既没有公开的漏洞分析,也没有可利用代码(PoC)。研究团队认为,攻击者极有可能通过逆向分析厂商补丁(Patch Reverse Engineering)快速还原漏洞原理,并开发出利用程序。这意味着,企业即使在漏洞尚未公开披露时,也可能已经面临真实攻击,传统依赖漏洞公告再部署防护的模式正受到挑战。
Forescout还发现,攻击活动不仅针对Lantronix漏洞本身,还伴随着针对基于OpenWrt和LuCI管理界面的自动化暴力破解和侦察扫描。研究人员将这一系列活动命名为Chaya_006,其攻击脚本具有明显针对性,并非普通互联网漏洞扫描或僵尸网络传播行为,而是专门瞄准工业边缘设备开展持续探测。
安全专家指出,此次事件反映出工业网络攻击模式正在发生变化。过去,攻击者通常首先入侵VPN、防火墙或远程访问系统,再逐步渗透OT网络;如今,部署在网络边缘的串口服务器、工业网关等设备正逐渐成为新的突破口。与此同时,漏洞利用速度不断加快,攻击者已能够在补丁发布后迅速完成逆向分析并实施攻击,大幅压缩企业的修复窗口。
针对相关风险,CISA和Forescout建议用户尽快升级Lantronix发布的最新固件,关闭不必要的互联网访问接口,修改默认账户及弱口令,限制管理界面对公网开放,并通过网络分区、工业DMZ、持续监测及EDR等措施加强OT边缘设备防护,避免边缘设备成为攻击者进入工业控制网络的入口。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:河南等级保护测评 铸盾安全 铸盾安全《Lantronix工业设备高危漏洞遭在野利用,暴露OT设备补丁窗口期风险》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论