CISA alerte sur 4 vulnérabilités critiques exploitées dans Ubiquiti UniFi OS et Lantronix EDS5000

Fri, 26 Jun 2026 00:00:00 +0000

🛡️ Contexte

Le 24 juin 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une alerte via sa directive BOD 26-04, signalant l’exploitation active de quatre vulnérabilités affectant des équipements réseau largement déployés. Les agences fédérales américaines disposent de trois jours pour appliquer les correctifs ou les mitigations recommandées.

🔴 Vulnérabilités Ubiquiti UniFi OS

Trois CVE ont été ajoutées au catalogue KEV pour les équipements Ubiquiti UniFi OS :

CVE-2026-34908 : Contournement de contrôle d’accès permettant à un attaquant non authentifié d’effectuer des modifications non autorisées, pouvant mener à une compromission totale du système.
CVE-2026-34909 : Traversée de répertoire (path traversal) permettant l’accès à des fichiers sensibles (configurations, credentials), facilitant une prise de contrôle de compte.
CVE-2026-34910 : Validation d’entrée incorrecte permettant l’injection et l’exécution de commandes OS arbitraires, pouvant conduire à une exécution de code à distance (RCE).

Ubiquiti a publié des correctifs en mai 2026. Les chercheurs de Bishop Fox ont démontré que ces trois failles peuvent être chaînées pour obtenir un RCE complet avec privilèges élevés. Bishop Fox a également publié un script de détection gratuit sur GitHub.

CVE-2025-67038 : exécution de commandes arbitraires dans les convertisseurs Lantronix EDS5000 ajoutée au KEV CISA

Fri, 26 Jun 2026 00:00:00 +0000

🗓️ Contexte

Publié le 24 juin 2026 par Dataminr (auteur : Joseph Slowik, Director of Threat Research and Cyber Engineering), cet article analyse l’ajout de CVE-2025-67038 au catalogue KEV (Known Exploited Vulnerabilities) de la CISA le 23 juin 2026, aux côtés de trois vulnérabilités affectant la plateforme Ubiquiti.

🔍 Vulnérabilité concernée

CVE-2025-67038 : vulnérabilité d’injection de code / exécution de commandes arbitraires dans la plateforme Lantronix EDS5000
Le Lantronix EDS5000 est un convertisseur série-ethernet utilisé dans l’automatisation industrielle et les environnements OT/IoT
Ces dispositifs constituent des points de passage critiques (choke points) pour les opérations cyber-physiques
L’ajout au KEV confirme une exploitation active documentée

⚠️ Implications opérationnelles

Exploitation possible entraînant une perte ou un déni de contrôle sur des équipements industriels ou d’automatisation en aval
Les environnements industriels à haute disponibilité ne peuvent généralement pas appliquer des correctifs hors fenêtre de maintenance planifiée
Des mesures compensatoires sont nécessaires dans l’immédiat

🏴‍☠️ Précédents d’acteurs étatiques

2015 – Ukraine : Sandworm (GRU russe) a attaqué des sous-stations de distribution électrique, développant un payload de firmware malveillant pour « bricker » des convertisseurs série-ethernet, induisant une perte de contrôle et compliquant la restauration
~2025 – Pologne : Berserk Bear (FSB russe) a exploité des identifiants par défaut sur des convertisseurs série-ethernet dans des entités industrielles polonaises pour les réinitialiser en paramètres d’usine, modifier les identifiants et les adresses IP, rendant les équipements inaccessibles

📌 Type d’article

Analyse de menace à visée opérationnelle, destinée aux équipes de sécurité industrielle et OT, visant à contextualiser l’ajout au KEV CISA et à évaluer le niveau de risque cyber-physique associé à CVE-2025-67038.

CVE-2025-67038 on CyberVeille