Onekey Research Lab, kişisel hava istasyonlarını Weather Underground gibi halka açık hava ağlarına bağlamak için tasarlanmış kompakt bir cihaz olan Meteobridge ürün yazılımında ciddi bir komut enjeksiyon güvenlik açığı ortaya çıkardı.
Oneyey’in platformlarında yakın zamanda tanıtılan BASH statik kod analizi ile tanımlanan bu kusur, Meteobridge ürün yazılımının 6.1 ve altındaki sürümleri etkiler ve uzaktan, kimlik dışı saldırganların kök ayrıcalıkları ile keyfi komutlar yürütmesini sağlar.
Şimdi CVE-2025-4008 atanan güvenlik açığı, koordineli bir açıklama işleminin ardından sürüm 6.2’de yamalanmıştır. CVSS skoru 8.7 (yüksek) ile, bu sorunun etkisi, internet bağlantılı cihazlarda sağlam ürün yazılımı güvenliğine yönelik kritik ihtiyacın altını çizmektedir.
.png
)
Kritik kusur, hava istasyonu cihazlarını ortaya çıkarır
Güvenlik açığı, özellikle CGI kabuk komut dosyası içinde erişilebilir Meteobridge web arayüzünde bulunur. /cgi-bin/template.cgi.
Bu uç nokta, kullanıcı girişini işler $QUERY_STRING Doğrudan bir şekilde beslenmeden değişken, doğrudan bir eval Komut enjeksiyon saldırıları için kötü şöhretli bir vektör çağırın.
Sonuç olarak, kötü niyetli aktörler, cihazda keyfi sistem komutları yürütmek için HTTP istekleri oluşturabilir.
Daha da kötüsü, bir yanlış yapılandırma nedeniyle bir kimlik doğrulama bypass vardır. uhttpd Sunucu Ayarları.
Kamu uç noktası yoluyla kime doğrulanmamış sömürü
Bazı dizinler gibi /cgi-bin temel kimlik doğrulama ile korunur, etkilenen komut dosyası da korunmasız bir /public Saldırganların giriş gereksinimlerini tamamen atlamasına izin veren dizin.
Bu ikili kusur, internet üzerinden bile potansiyel olarak ağ erişimi olan herkesin kimlik bilgileri olmadan kullanabileceği anlamına gelir.
Shodan verileri, 70 ila 130 Meteobridge cihazının herhangi bir zamanda çevrimiçi olarak görülebildiğini ve satıcının internet maruziyetine karşı danışmanlık uyarısına rağmen gerçek dünya sömürüsü riskini artırdığını göstermektedir.
Tehdidi daha da birleştirerek, saldırı basit bir GET isteği ile yürütülebilir, bu da kötü niyetli web bağlantıları oluşturmayı veya istismar kodunu gibi görünüşte zararsız unsurlara yerleştirmeyi mümkün kılabilir.
Bir kurbanın sadece bir bağlantıyı tıklaması gerekir. http://[target]/public/template.cgi?templatefile=$(command) Sosyal mühendislik yoluyla uzaktan kod yürütme gibi senaryoları mümkün kılar.
Onekey bunu bir kavram kanıtı ile gösterdi. curl Saldırganların sadece komutları enjekte edebileceğini, aynı zamanda HTTP yanıtındaki çıktılarını da alabileceğini ve kötü niyetli eylemlerinin başarısı hakkında anında geri bildirim sağlayarak komutlar.
Bu keşif, Oneyey’in ürün yazılımı corpus’un rutin bir taraması sırasında sorunu işaretleyen otomatik bash statik analizinin gücünü vurgulamaktadır.
Rapora göre, bu kusurun proaktif tanımlanması, ardından akıllı yataklı (satıcı) birden fazla bildirim ve Alman BSI ile koordinasyon içeren yapılandırılmış bir açıklama zaman çizelgesi, sorumlu güvenlik açığı işlemesinin önemini sergiliyor.
Meteobridge yöneticileri tarafından bir forum postasının ve hesabının silinmesi de dahil olmak üzere ilk zorluklara rağmen, 14 Mayıs 2025’te satıcının danışmanlığında ayrıntılı olarak açıklandığı gibi bir yamanın yayınlanmasıyla devam etti.
Kullanıcılar için sürüm 6.2’ye yükseltme kritik öneme sahipken, ürün yazılımı yöneten kuruluşlar, vahşi doğada sömürülebilir tehditler haline gelmeden önce bu tür kabuk komut dosyası güvenlik açıklarını tespit etmek ve azaltmak için Oneyey’in platformu gibi otomatik araçlardan yararlanmalıdır.
Bu olay, IoT cihazlarındaki gizli tehlikeleri ve sürekli güvenlik uyanıklığına duyulan ihtiyacın kesin bir hatırlatıcısı olarak hizmet vermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!