Perşembe günü ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), aktif sömürü kanıtı göstererek, bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna akıllı yataklı Meteobridge’i etkileyen yüksek şiddetli bir güvenlik kusuru ekledi.
Güvenlik açığı, CVE-2025-4008 (CVSS puanı: 8.7), Meteobridge web arayüzünde kod yürütmeye neden olabilecek bir komut enjeksiyon örneğidir.
CISA, “Akıllı yataklı Meteobridge, uzaktan bilgili olmayan saldırganların etkilenen cihazlarda yüksek ayrıcalıklarla (kök) keyfi komuta yürütülmesine izin verebilecek bir komut enjeksiyon güvenlik açığı içeriyor.” Dedi.
Şubat 2025’in sonlarında sorunu keşfeden ve bildiren Oneyey’e göre, Meteobridge web arayüzü, bir yöneticinin hava durumu istasyonu veri toplama ve CGI kabuk komut dosyaları ve C’de yazılmış bir web uygulaması aracılığıyla sistemi kontrol etmesine izin verir.
Özellikle, Web arayüzü, değerlendirme çağrılarının güvensiz kullanımından kaynaklanan komut enjeksiyonuna karşı savunmasız olan “/cgi -obin/template.cgi” aracılığıyla bir “Template.cgi” komut dosyası ortaya çıkarır ve bir saldırganın keyfi kod yürütmek için özel olarak hazırlanmış talepler sağlamasına izin verir –
curl -i -u meteobridge: meteobridge \
'https://192.168.88.138/cgi-bin/template.cgi?$(id>/tmp/a)=whatever'Ayrıca Oneyey, CGI komut dosyasının herhangi bir kimlik doğrulama gerektirmeden bir genel dizinde barındırılması nedeniyle güvenlik açığının kimlik doğrulanmamış saldırganlar tarafından kullanılabileceğini söyledi.
Güvenlik Araştırmacısı Quentin Kaiser, “Kötü niyetli bir web sayfası üzerinden uzaktan istismar, herhangi bir özel başlık veya jeton parametresi olmadan bir GET isteği olduğu için de mümkündür.” “Sadece kurbanınıza bir bağlantı gönderin ve ‘https: //subnet.a/public/template.cgi? TemplateFile = $ (komut) olarak ayarlanmış SRC ile IMG etiketleri oluşturun.'”
Şu anda CVE-2025-4008’in vahşi doğada nasıl kullanıldığını ifade eden bir kamu raporu yoktur. Güvenlik açığı, 13 Mayıs 2025’te yayınlanan Meteobridge sürüm 6.2’de ele alındı.
Ayrıca CISA tarafından Kev kataloğuna eklendi Dört kusur var –
- CVE-2025-21043 (CVSS Puanı: 8.8)-Samsung mobil cihazlar, uzak saldırganların keyfi kod yürütmesine izin verebilecek libimagecodec.quram.s.
- CVE-2017-1000353 (CVSS Puanı: 9.8) – Jenkins, denilist tabanlı koruma mekanizmalarını atlayarak, kimlik doğrulanmamış uzaktan kod yürütülmesine izin verebilecek güvenilmeyen veri kırılganlığının seansize edilmesini içerir.
- CVE-2015-7755 (CVSS Puanı: 9.8) – Juniper Screenos, cihaza yetkisiz uzaktan idari erişim sağlayabilecek yanlış bir kimlik doğrulama güvenlik açığı içerir.
- CVE-2014-6278AKA ShellShock (CVSS Puanı: 8.8) – GNU Bash, uzak saldırganların hazırlanmış bir ortam aracılığıyla keyfi komutlar yürütmesine izin verebilecek bir OS komutu enjeksiyon güvenlik açığı içerir.
Aktif sömürü ışığında, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının en uygun koruma için 23 Ekim 2025’e kadar gerekli güncellemeleri uygulamaları gerekmektedir.