CISA на этой неделе добавила две критические уязвимости в свой каталог Known Exploited Vulnerabilities. Под прицелом — сетевые устройства Lantronix EDS5000 и Ubiquiti UniFi OS. Для федеральных ведомств США установлен дедлайн 26 июня 2026 года. Анализ данных Forescout, Bishop Fox и Defused Cyber показывает: атаки идут полным ходом, и не только со стороны «обычных» киберкриминальных групп.
Lantronix EDS5000: 9,8 балла из 10
Уязвимость CVE-2025-67038 получила 9,8 балла по шкале CVSS — это максимально критический уровень. Суть бага до банальности проста: HTTP RPC-модуль LuCI на устройствах Lantronix EDS5000 записывает логи при ошибке аутентификации через shell-команду, в которую напрямую подставляется имя пользователя из запроса. Никакой санитизации параметров. Конечный результат — выполнение произвольных команд ОС с правами root. Эндпоинт для атаки — /cgi-bin/luci/rpc/auth.
Lantronix закрыла дыру ещё 20 февраля 2026 года, однако это не остановило злоумышленников. Forescout Research Vedere Labs раскрыли уязвимость публично только в апреле 2026 года в рамках кампании BRIDGE:BREAK (затронуты также устройства Silex). Первая реальная атака зафиксирована 5 апреля — то есть спустя примерно две недели после публичного раскрытия и почти через полтора месяца после выхода патча. Реальный сценарий N-day эксплуатации: реверс-инжиниринг патча для создания рабочего эксплойта.
Chaya_006 и параллельный брутфорс
Forescout присвоила имя Chaya_006 группе, которая активно эксплуатирует CVE-2025-67038. Последняя зафиксированная попытка в их наборе данных — 3 июня 2026 года. Атаки идут с двух IP-адресов: 38.207.136.2 и 218.13.42.36. Параллельно исследователи наблюдали массированный брутфорс — с 28 января по 6 июня 2026 года зафиксировано более 4 100 попыток подбора паролей против Lantronix и других OpenWRT LuCI-хонейпотов. Тестировались 4 имени пользователя и свыше 200 комбинаций паролей.
Данные Shodan рисуют картину масштаба потенциальной угрозы: в интернете светится около 31 850 устройств под OpenWRT LuCI, из них примерно 5 000 — приманки-фейки. Серьёзная фонит-база для любого желающего пройтись эксплойтом.
Ubiquiti UniFi OS: цепочка из трёх CVE
Вторая уязвимость — фактически тройка багов в UniFi OS, сцепленных в один критический вектор удалённого выполнения кода. Все три получили максимальный уровень серьёзности:
Lantronix EDS5000: 9,8 балла из 10
Уязвимость CVE-2025-67038 получила 9,8 балла по шкале CVSS — это максимально критический уровень. Суть бага до банальности проста: HTTP RPC-модуль LuCI на устройствах Lantronix EDS5000 записывает логи при ошибке аутентификации через shell-команду, в которую напрямую подставляется имя пользователя из запроса. Никакой санитизации параметров. Конечный результат — выполнение произвольных команд ОС с правами root. Эндпоинт для атаки — /cgi-bin/luci/rpc/auth.
Lantronix закрыла дыру ещё 20 февраля 2026 года, однако это не остановило злоумышленников. Forescout Research Vedere Labs раскрыли уязвимость публично только в апреле 2026 года в рамках кампании BRIDGE:BREAK (затронуты также устройства Silex). Первая реальная атака зафиксирована 5 апреля — то есть спустя примерно две недели после публичного раскрытия и почти через полтора месяца после выхода патча. Реальный сценарий N-day эксплуатации: реверс-инжиниринг патча для создания рабочего эксплойта.
Chaya_006 и параллельный брутфорс
Forescout присвоила имя Chaya_006 группе, которая активно эксплуатирует CVE-2025-67038. Последняя зафиксированная попытка в их наборе данных — 3 июня 2026 года. Атаки идут с двух IP-адресов: 38.207.136.2 и 218.13.42.36. Параллельно исследователи наблюдали массированный брутфорс — с 28 января по 6 июня 2026 года зафиксировано более 4 100 попыток подбора паролей против Lantronix и других OpenWRT LuCI-хонейпотов. Тестировались 4 имени пользователя и свыше 200 комбинаций паролей.
Данные Shodan рисуют картину масштаба потенциальной угрозы: в интернете светится около 31 850 устройств под OpenWRT LuCI, из них примерно 5 000 — приманки-фейки. Серьёзная фонит-база для любого желающего пройтись эксплойтом.
Ubiquiti UniFi OS: цепочка из трёх CVE
Вторая уязвимость — фактически тройка багов в UniFi OS, сцепленных в один критический вектор удалённого выполнения кода. Все три получили максимальный уровень серьёзности:
- CVE-2026-34908 — некорректная валидация ввода с возможностью инъекции команд;
- CVE-2026-34909 — path traversal с доступом к файлам и манипуляцией ими;
- CVE-2026-34910 — неправильный контроль доступа, позволяющий несанкционированные изменения в системе.
Все три объединяются в одну HTTP-запросную цепочку, дающую атакующему полноценный reverse shell с правами root. PoC опубликовала Bishop Fox в начале июня 2026 года. Ubiquiti закрыла баги в конце мая 2026 года. CISA подтвердила активную эксплуатацию в реальных условиях — детект сделала компания Defused Cyber, зафиксировавшая попытки атак за несколько дней до 25-26 июня. На устройствах уже отмечалось развёртывание commodity-малвари (массового malware, доступного на чёрном рынке).
Бельгийский Centre for Cybersecurity (CCB) отдельно отметил: устройства UniFi глубоко интегрированы в инфраструктуру сетей, поэтому компрометация одной точки даёт атакующему возможность lateral movement — расползания по сети и захвата соседних систем.
Что делать прямо сейчас
CISA обязала федеральные гражданские ведомства (FCEB) закрыть обе дыры к 26 июня 2026 года. Для остальных рекомендации типичные, но жизненно необходимые:- Поставить патчи на Lantronix EDS5000 (прошивка с фиксом CVE-2025-67038) и Ubiquiti UniFi OS (CVE-2026-34908, 34909, 34910).
- Сменить дефолтные пароли на всех сетевых устройствах — Lantronix, Ubiquiti, OpenWRT/LuCI.
- Включить строгую политику паролей, исключающую слабые комбинации.
- Сегментировать сеть так, чтобы интерфейсы управления LuCI, UniFi и RPC не торчали в публичный интернет — только доверенные сегменты.
- Мониторить логи аутентификации на /cgi-bin/luci/rpc/auth: аномальные имена пользователей с командными символами — верный признак попытки инъекции.
Что мы знаем и чего пока нет
Forescout пока не раскрыла конкретных данных о том, кто стоит за нынешней эксплуатацией, помимо собственного трекинг-имени Chaya_006. Подробности о методах дальнейшей работы на скомпрометированных узлах за пределами хонейпотов тоже не публиковались. Однако сама схема — реверс патча, эксплойт на эндпоинт OpenWRT, десятки тысяч потенциально доступных устройств в Shodan — говорит о том, что у атакующих есть время и ресурсы на качественный, а не массовый брутфорс. Это не скрипт-кидди уровень.
Один факт настораживает отдельно. Патч на Lantronix вышел 20 февраля, но атаки начались только в начале апреля — после публичного раскрытия. Параллельный брутфорс шёл с конца января, то есть разведка началась задолго до появления публичного эксплойта. Кто-то готовился заранее и ждал либо PoC, либо собственный результат реверса. Открытый исследовательский отчёт Bishop Fox по цепочке Ubiquiti появился одновременно с реальными атаками в сети — слишком синхронно, чтобы это было совпадением.