CVE-2025-67038

🛡️ Contexte Le 24 juin 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une alerte via sa directive BOD 26-04, signalant l’exploitation active de quatre vulnérabilités affectant des équipements réseau largement déployés. Les agences fédérales américaines disposent de trois jours pour appliquer les correctifs ou les mitigations recommandées. 🔴 Vulnérabilités Ubiquiti UniFi OS Trois CVE ont été ajoutées au catalogue KEV pour les équipements Ubiquiti UniFi OS : CVE-2026-34908 : Contournement de contrôle d’accès permettant à un attaquant non authentifié d’effectuer des modifications non autorisées, pouvant mener à une compromission totale du système. CVE-2026-34909 : Traversée de répertoire (path traversal) permettant l’accès à des fichiers sensibles (configurations, credentials), facilitant une prise de contrôle de compte. CVE-2026-34910 : Validation d’entrée incorrecte permettant l’injection et l’exécution de commandes OS arbitraires, pouvant conduire à une exécution de code à distance (RCE). Ubiquiti a publié des correctifs en mai 2026. Les chercheurs de Bishop Fox ont démontré que ces trois failles peuvent être chaînées pour obtenir un RCE complet avec privilèges élevés. Bishop Fox a également publié un script de détection gratuit sur GitHub. ...

🗓️ Contexte Publié le 24 juin 2026 par Dataminr (auteur : Joseph Slowik, Director of Threat Research and Cyber Engineering), cet article analyse l’ajout de CVE-2025-67038 au catalogue KEV (Known Exploited Vulnerabilities) de la CISA le 23 juin 2026, aux côtés de trois vulnérabilités affectant la plateforme Ubiquiti. 🔍 Vulnérabilité concernée CVE-2025-67038 : vulnérabilité d’injection de code / exécution de commandes arbitraires dans la plateforme Lantronix EDS5000 Le Lantronix EDS5000 est un convertisseur série-ethernet utilisé dans l’automatisation industrielle et les environnements OT/IoT Ces dispositifs constituent des points de passage critiques (choke points) pour les opérations cyber-physiques L’ajout au KEV confirme une exploitation active documentée ⚠️ Implications opérationnelles Exploitation possible entraînant une perte ou un déni de contrôle sur des équipements industriels ou d’automatisation en aval Les environnements industriels à haute disponibilité ne peuvent généralement pas appliquer des correctifs hors fenêtre de maintenance planifiée Des mesures compensatoires sont nécessaires dans l’immédiat 🏴‍☠️ Précédents d’acteurs étatiques 2015 – Ukraine : Sandworm (GRU russe) a attaqué des sous-stations de distribution électrique, développant un payload de firmware malveillant pour « bricker » des convertisseurs série-ethernet, induisant une perte de contrôle et compliquant la restauration ~2025 – Pologne : Berserk Bear (FSB russe) a exploité des identifiants par défaut sur des convertisseurs série-ethernet dans des entités industrielles polonaises pour les réinitialiser en paramètres d’usine, modifier les identifiants et les adresses IP, rendant les équipements inaccessibles 📌 Type d’article Analyse de menace à visée opérationnelle, destinée aux équipes de sécurité industrielle et OT, visant à contextualiser l’ajout au KEV CISA et à évaluer le niveau de risque cyber-physique associé à CVE-2025-67038. ...