Theo CISA, lỗ hổng CVE-2025-36535 có điểm CVSS 10. Nguyên nhân là do thiếu cơ chế xác thực trên giao diện web nhúng của thiết bị, cho phép bất kỳ ai có kết nối Internet cũng có thể truy cập và cấu hình thiết bị mà không cần tài khoản.

Cụ thể, vấn đề phát sinh từ việc thiết bị không có bất kỳ cơ chế xác thực nào cho giao diện cấu hình web. Điều này đồng nghĩa với việc bất kỳ ai có kết nối Internet đều có thể truy cập vào bảng điều khiển cấu hình mà không cần thông tin đăng nhập. Khi truy cập được, kẻ tấn công có thể xem và thu thập nhiều thông tin nhạy cảm như địa chỉ IP nội bộ, phiên bản firmware đang sử dụng, các thiết lập Modbus và thông số truyền thông nối tiếp.

Hiện có hơn 100 thiết bị Modbus Gateway đang được truy cập công khai trên Internet và có thể bị khai thác từ xa. Nghiêm trọng hơn, kẻ tấn công có thể lợi dụng lỗ hổng này để thay đổi cấu hình thiết bị từ xa và làm gián đoạn hoặc thao túng giao tiếp Modbus giữa các hệ thống công nghiệp. Đồng thời có thể thu thập thông tin chi tiết về mạng và hệ thống để phục vụ các bước tấn công tiếp theo, trong một số trường hợp, thậm chí có thể thực thi mã độc tùy ý trên thiết bị.

Nhà sản xuất AutomationDirect đã xác nhận giới hạn phần cứng của thiết bị khiến việc phát hành bản vá gặp khó khăn. Thay vào đó, người dùng nên thay thế thiết bị Modbus Gateway bằng model mới hơn là EKI-1221-CE Gateway.

Với các môi trường công nghiệp, đặc biệt là nơi thiết bị được tích hợp trong chuỗi vận hành quan trọng, việc bị khai thác lỗ hổng này có thể gây ra hậu quả nghiêm trọng. Tin tặc không chỉ có khả năng thay đổi cấu hình thiết bị từ xa, mà còn có thể gián đoạn hoặc thao túng quá trình giao tiếp giữa các hệ thống, từ đó thu thập thông tin chi tiết về mạng lưới và thậm chí thực thi mã độc tùy ý nếu điều kiện cho phép.