Source: https://thehackernews.com/2025/10/cisa-flags-meteobridge-cve-2025-4008.html
🛡 概要
米国サイバーセキュリティインフラセキュリティ庁(CISA)は、Smartbedded Meteobridgeに影響を与える高Severityのセキュリティ脆弱性を、既知の悪用脆弱性(KEV)カタログに追加しました。この脆弱性CVE-2025-4008は、コマンドインジェクションが原因であり、攻撃者がリモートからコードを実行できる可能性があります。
🔍 技術詳細
CVE-2025-4008 (CVSSスコア: 8.7)は、Meteobridgeのウェブインターフェースに存在するコマンドインジェクションの脆弱性です。この脆弱性により、リモートの認証されていない攻撃者が、影響を受けたデバイスで任意のコマンドを実行することが可能になります。具体的には、ウェブインターフェースは「template.cgi」スクリプトを公開しており、eval呼び出しの不適切な使用により、特別に作成されたリクエストを通じて任意のコードを実行することができます。例えば、curl -i -u meteobridge:meteobridge 'https://192.168.88.138/cgi-bin/template.cgi?$(id>/tmp/a)=whatever'のようなリクエストが可能です。
⚠ 影響
この脆弱性は、認証なしにCGIスクリプトをホストする公開ディレクトリに存在するため、攻撃者は容易に悪用できます。さらに、悪意のあるウェブページを介してのリモート悪用も可能です。セキュリティ研究者のクエンティン・カイザーは、GETリクエストを使用しており、カスタムヘッダーやトークンパラメータを必要としないため、攻撃が容易であると指摘しています。現在、CVE-2025-4008が実際にどのように悪用されているかについての公的な報告はありませんが、FCEB機関は2025年10月23日までに必要なアップデートを適用する必要があります。
🛠 対策
Meteobridgeの脆弱性は、2025年5月13日にリリースされたバージョン6.2で修正されました。したがって、ユーザーはすぐに最新バージョンへのアップデートを行うことが推奨されます。また、CISAが警告しているように、特にFCEB機関は、適切なセキュリティ対策を講じ、脆弱性を悪用されないようにすることが重要です。定期的なソフトウェアの更新と、セキュリティパッチの適用が、サイバー攻撃からシステムを保護するための基本的な手段となります。
