米国サイバーセキュリティ機関CISAは木曜日、5月に修正されたMeteobridgeの脆弱性が攻撃で悪用されているとして警告し、この脆弱性を既知の悪用された脆弱性(KEV)カタログに追加しました。
Meteobridgeは、管理者が自分の気象観測所を公共の気象ネットワークに接続できるようにするデバイスです。観測データの収集やシステム管理の機能は、Meteobridgeのウェブインターフェースを通じて提供されます。
Meteobridgeはインターネットに公開すべきではありませんが、Shodanの過去データによると、約100台のデバイスがパブリックウェブからアクセス可能な状態です。この設定ミスにより、脆弱なデバイスが攻撃の危険にさらされています。
CVE-2025-4008(CVSSスコア8.7)として追跡されているMeteobridgeのバグは、現在悪用されたとされるもので、コマンドインジェクションの脆弱性があるウェブインターフェースのエンドポイント(CGIシェルスクリプト)で特定されました。
この問題は、ユーザーが制御できる入力がサニタイズされずにeval呼び出しで解析・使用されるために存在します。さらに、脆弱なCGIスクリプトがパブリックフォルダにあるため認証で保護されておらず、認証されていない攻撃者がcurlコマンドを使ってバグを悪用できてしまいます。
「悪意のあるウェブページ経由でのリモート悪用も可能です。なぜなら、これはカスタムヘッダーやトークンパラメータが一切ないGETリクエストだからです」とOnekeyは説明しています。
5月13日、SmartbeddedはMeteoBridgeバージョン6.2のリリースを「アプリケーションのセキュリティリスクの修正」として発表しましたが、CVEや脆弱性の悪用については言及しませんでした。
現在、CISAは攻撃者がこの脆弱性を悪用した攻撃を行っていると警告しており、連邦機関に対して、拘束力のある運用指令(BOD)22-01に基づき、今後3週間以内に対応するよう求めています。
広告。スクロールして続きをお読みください。
Onekeyは5月にCVE-2025-4008の技術的詳細と概念実証(PoC)エクスプロイトを公開しましたが、CISAがKEVに追加するまで、このバグが実際に悪用されたという報告はありませんでした。
木曜日、CISAはまた、最近のSamsungのゼロデイ(CVE-2025-21043)と、Jenkins(CVE-2017-1000353)、Juniper ScreenOS(CVE-2015-7755)、GNU Bash OS(CVE-2014-6278、別名Shellshock)の3つの古いセキュリティ欠陥も、以前に悪用されたものとしてKEVリストに追加しました。
すべての組織は、これら5つの脆弱性およびCISAのKEVリストで説明されているすべての脆弱性への対応を推奨されます。
関連記事: Oracle、既知の脆弱性が最近の恐喝攻撃で悪用された可能性を指摘
関連記事: 組織に対し、悪用されたSudoの脆弱性について警告
翻訳元: https://www.securityweek.com/organizations-warned-of-exploited-meteobridge-vulnerability/
