A agência americana U.S. Cybersecurity and Infrastructure Security Agency (CISA) incluiu, na última quinta-feira, uma vulnerabilidade de alta gravidade envolvendo o Smartbedded Meteobridge em seu catálogo Known Exploited Vulnerabilities (KEV).
A decisão foi tomada após evidências indicarem exploração ativa dessa falha.
A vulnerabilidade, identificada como
CVE-2025-4008
e com pontuação 8,7 na escala CVSS, trata-se de uma falha de command injection na interface web do Meteobridge, que pode permitir a execução remota de código.
Segundo a CISA, “o Smartbedded Meteobridge apresenta uma vulnerabilidade de injeção de comandos que possibilita a atacantes remotos não autenticados executar comandos arbitrários com privilégios elevados (root) nos dispositivos afetados.”
O responsável pela descoberta foi o grupo ONEKEY, que reportou o problema no final de fevereiro de 2025.
De acordo com eles, a interface web do Meteobridge permite que administradores gerenciem a coleta de dados das estações meteorológicas e controlem o sistema por meio de uma aplicação web escrita em CGI shell scripts e C.
O ponto crítico está no script "template.cgi", acessível via o caminho "/cgi-bin/template.cgi", que é vulnerável a injeção de comandos devido ao uso inseguro de chamadas eval.
Isso abre espaço para que um atacante envie requisições cuidadosamente criadas para executar código arbitrário, como no exemplo abaixo:
curl -i -u meteobridge:meteobridge "https[:]//192[.]168.88[.]138/cgi-bin/template.cgi?$(id>/tmp/a)=whatever"
Além disso, o ONEKEY destacou que a vulnerabilidade pode ser explorada por atacantes não autenticados, já que o script CGI está hospedado em um diretório público e não exige qualquer tipo de autenticação.
O pesquisador Quentin Kaiser complementou em maio que a exploração remota pode ser feita facilmente via um link malicioso, pois a requisição é do tipo GET, sem necessidade de headers personalizados ou tokens:
“Basta enviar um link para a vítima e criar tags img com o src definido como ‘https[:]//subnet[.]a/public/template.cgi?templatefile=$(command)’.”
Até o momento, não há relatos públicos de ataques que utilizem o
CVE-2025-4008
em ambientes reais.
A correção foi disponibilizada na versão 6.2 do Meteobridge, lançada em 13 de maio de 2025.
Além dessa falha, a CISA adicionou ao catálogo KEV quatro outras vulnerabilidades críticas:
-
CVE-2025-21043
(CVSS 8,8): Dispositivos móveis Samsung apresentam uma vulnerabilidade de out-of-bounds write na biblioteca libimagecodec.quram.so, que pode permitir execução remota de código.
-
CVE-2017-1000353
(CVSS 9,8): Jenkins possui falha de desserialização de dados não confiáveis que pode levar a execução remota de código sem autenticação, contornando mecanismos de proteção por denylist.
-
CVE-2015-7755
(CVSS 9,8): Juniper ScreenOS contém uma falha de autenticação inadequada que possibilita acesso administrativo remoto não autorizado.
-
CVE-2014-6278
, conhecido como Shellshock (CVSS 8,8): GNU Bash apresenta vulnerabilidade de injeção de comandos no sistema operacional, permitindo execução remota via environment variables manipulados.
Devido à exploração ativa dessas falhas, as agências do Federal Civilian Executive Branch (FCEB) dos EUA têm até 23 de outubro de 2025 para aplicar os patches recomendados e garantir a proteção adequada dos sistemas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...