概要

米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Lantronix EDS5000シリーズのデバイスサーバーに存在する重大な脆弱性CVE-2025-67038が実環境で積極的に悪用されていることを確認し、同脆弱性を「既知悪用脆弱性(KEV)」カタログに追加した。CISAは連邦民間行政機関(FCEB)に対し、2026年6月26日までのパッチ適用を義務付けた。CVSSスコアは最高値に近い9.8であり、悪用に成功した攻撃者は管理者(root)権限で任意のOSコマンドを実行できる。

脆弱性の技術的詳細

この脆弱性はLantronix EDS5000シリーズのHTTP RPCモジュールに存在するコードインジェクション欠陥で、認証失敗時の処理に起因する。具体的には「ユーザー名がサニタイズなしでコマンドに直接連結される」設計上の欠陥があり、攻撃者は細工したユーザー名を送信するだけでroot権限のOSコマンドを実行させることができる。認証を必要とせず外部から悪用可能なため、インターネットに公開されたデバイスは特に危険な状態にある。

この脆弱性は2026年4月、Forescout Research Vedere Labsのセキュリティ研究者たちによってBRIDGE:BREAKと名付けられた脆弱性コレクションの一部として開示された。BRIDGE:BREAKはLantronixだけでなく、Silexのシリアル-IPコンバーターにも影響を与えた一連の調査報告であり、産業用・業務用のネットワーク機器に潜む構造的な問題を浮き彫りにした。現在のところ、実際の悪用に使われている具体的な手法の詳細は公開されていない。

関連する脅威動向

CISAは同時に、Ubiquiti UniFi OSに存在する3件の脆弱性(CVE-2026-34908、CVE-2026-34909、CVE-2026-34910)についても実環境での悪用を確認したと発表した。これらの脆弱性はコモディティマルウェアの展開に利用されており、ネットワーク機器を狙った脅威が広範に拡大していることを示している。KEVカタログへの追加はFCEBへの法的拘束力を持つ対応義務を意味するが、民間企業や組織においても速やかなパッチ適用と資産管理の見直しが強く推奨される。