Lỗ hổng bảo mật nghiêm trọng trong thiết bị thời tiết Meteobridge đang bị tin tặc khai thác
11:59 05/10/2025(VietQ.vn) - Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến thiết bị Smartbedded Meteobridge vào danh mục “Các lỗ hổng đã bị khai thác” (Known Exploited Vulnerabilities - KEV), sau khi ghi nhận bằng chứng về việc tin tặc đang lợi dụng điểm yếu này để tấn công thực tế.
Sự kiện: AN TOÀN THÔNG TIN
Cảnh báo lỗ hổng nghiêm trọng trên công cụ nén và giải nén phổ biến nhất thế giới WinRAR
Lỗ hổng ShadowLeak trong ChatGPT khiến gmail nguy cơ rò rỉ dữ liệu
Google phát hành bản vá khẩn cấp cho 120 lỗ hổng Android
Lỗ hổng nghiêm trọng trong Windows bị khai thác để phát tán mã độc tống tiền
Theo CISA, lỗ hổng mã hiệu CVE-2025-4008, có điểm đánh giá mức độ nghiêm trọng 8,7/10 (CVSS), là lỗi chèn lệnh (command injection) trong giao diện web của Meteobridge. Lỗi này cho phép kẻ tấn công từ xa, không cần xác thực, thực thi các lệnh tùy ý với quyền quản trị cao nhất (root) trên thiết bị bị ảnh hưởng.
Nhiều lỗ hổng nghiêm trọng trong firmware thiết bị Smartbedded Meteobridge, trong đó có lỗi “command injection” (CVE-2025-4008) đang bị tin tặc khai thác.
Theo Công ty an ninh mạng ONEKEY, đơn vị phát hiện và báo cáo vấn đề từ tháng 2/2025, cho biết giao diện web của Meteobridge được dùng để quản lý dữ liệu trạm thời tiết thông qua ứng dụng viết bằng CGI shell scripts và ngôn ngữ C. Tuy nhiên, thành phần “template.cgi” trong thư mục công khai “/cgi-bin/” lại tồn tại lỗ hổng cho phép kẻ xấu chèn mã lệnh độc hại do việc sử dụng không an toàn hàm “eval”.
Đáng lo ngại hơn, vì script này không yêu cầu xác thực nên kẻ tấn công có thể khai thác từ xa chỉ bằng cách lừa người dùng nhấp vào một liên kết độc hại. Nhà nghiên cứu bảo mật của ONEKEY Quentin Kaiser từng cảnh báo rằng việc gửi một trang web hoặc thẻ hình ảnh (img tag) có chứa đường dẫn độc hại cũng đủ để kích hoạt tấn công mà không cần thêm bất kỳ mã xác minh hay token nào.
Phiên bản Meteobridge 6.2, phát hành ngày 13/5/2025, đã khắc phục lỗ hổng này. Tuy nhiên, CISA khuyến nghị các cơ quan, doanh nghiệp và cá nhân sử dụng thiết bị Meteobridge cần cập nhật ngay lên bản vá mới nhất để ngăn chặn nguy cơ bị xâm nhập.
Cùng với CVE-2025-4008, CISA cũng bổ sung thêm bốn lỗ hổng nguy hiểm khác vào danh mục KEV, gồm:
- CVE-2025-21043 (8,8 điểm) – Lỗi ghi bộ nhớ vượt giới hạn trong libimagecodec.quram.so trên thiết bị di động Samsung, có thể bị lợi dụng để thực thi mã từ xa.
- CVE-2017-1000353 (9,8 điểm) – Lỗ hổng trong Jenkins cho phép tấn công deserialize dữ liệu không tin cậy, giúp tin tặc thực thi mã độc mà không cần xác thực.
- CVE-2015-7755 (9,8 điểm) – Lỗi xác thực không đúng trong Juniper ScreenOS, cho phép kẻ tấn công truy cập trái phép quyền quản trị.
- CVE-2014-6278 (8,8 điểm) – Lỗ hổng nổi tiếng Shellshock trong GNU Bash, cho phép chèn lệnh hệ điều hành qua biến môi trường độc hại.
CISA yêu cầu các cơ quan hành chính liên bang Hoa Kỳ (FCEB) phải hoàn tất cập nhật, vá lỗi trước ngày 23/10/2025 để bảo đảm an toàn hệ thống.
Giới chuyên gia cảnh báo, việc các thiết bị IoT như Meteobridge bị khai thác cho thấy rủi ro bảo mật trong các hệ thống giám sát, đo đạc tự động ngày càng tăng. Người dùng cần thường xuyên cập nhật phần mềm, kiểm tra cấu hình truy cập và tránh truy cập các đường dẫn lạ, đặc biệt trong các thiết bị kết nối Internet.
Duy Trinh (theo The Hacker News)
