🗓️ Contexte

Publié le 24 juin 2026 par Dataminr (auteur : Joseph Slowik, Director of Threat Research and Cyber Engineering), cet article analyse l’ajout de CVE-2025-67038 au catalogue KEV (Known Exploited Vulnerabilities) de la CISA le 23 juin 2026, aux côtés de trois vulnérabilités affectant la plateforme Ubiquiti.

🔍 Vulnérabilité concernée

  • CVE-2025-67038 : vulnérabilité d’injection de code / exécution de commandes arbitraires dans la plateforme Lantronix EDS5000
  • Le Lantronix EDS5000 est un convertisseur série-ethernet utilisé dans l’automatisation industrielle et les environnements OT/IoT
  • Ces dispositifs constituent des points de passage critiques (choke points) pour les opérations cyber-physiques
  • L’ajout au KEV confirme une exploitation active documentée

⚠️ Implications opérationnelles

  • Exploitation possible entraînant une perte ou un déni de contrôle sur des équipements industriels ou d’automatisation en aval
  • Les environnements industriels à haute disponibilité ne peuvent généralement pas appliquer des correctifs hors fenêtre de maintenance planifiée
  • Des mesures compensatoires sont nécessaires dans l’immédiat

🏴‍☠️ Précédents d’acteurs étatiques

  • 2015 – Ukraine : Sandworm (GRU russe) a attaqué des sous-stations de distribution électrique, développant un payload de firmware malveillant pour « bricker » des convertisseurs série-ethernet, induisant une perte de contrôle et compliquant la restauration
  • ~2025 – Pologne : Berserk Bear (FSB russe) a exploité des identifiants par défaut sur des convertisseurs série-ethernet dans des entités industrielles polonaises pour les réinitialiser en paramètres d’usine, modifier les identifiants et les adresses IP, rendant les équipements inaccessibles

📌 Type d’article

Analyse de menace à visée opérationnelle, destinée aux équipes de sécurité industrielle et OT, visant à contextualiser l’ajout au KEV CISA et à évaluer le niveau de risque cyber-physique associé à CVE-2025-67038.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1059 — Command and Scripting Interpreter (Execution)
  • T1078.001 — Valid Accounts: Default Accounts (Initial Access)
  • T1495 — Firmware Corruption (Impact)
  • T1562 — Impair Defenses (Defense Evasion)
  • T1489 — Service Stop (Impact)

IOC

  • CVEs : CVE-2025-67038NVD · CIRCL

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ dataminr.com — source non référencée (0pts)
  • ✅ 9931 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Sandworm, Berserk Bear (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.dataminr.com/resources/intel-brief/cve-2025-67038/