La CISA ha actualizado su catálogo de vulnerabilidades KEV para incluir una grave falla de ejecución remota de comandos en Meteobridge, identificada como CVE-2025-4008, cuya explotación activa pone en riesgo infraestructuras y sistemas conectados.
La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha confirmado la explotación activa de una vulnerabilidad crítica en Smartbedded Meteobridge, aumentando el nivel de alerta para operadores de infraestructuras y usuarios de estos dispositivos. Esta advertencia llega tras la evidencia recopilada durante los últimos meses sobre intentos efectivos de explotación remota sin autenticación.
La vulnerabilidad CVE-2025-4008 afecta al portal web de Meteobridge, diseñado para la gestión de estaciones meteorológicas. El fallo reside en el script template.cgi, expuesto públicamente bajo /cgi-bin/template.cgi, que procesa entradas poco seguras con llamadas eval. Esto permite a un atacante remoto no autenticado inyectar comandos arbitrarios que se ejecutan con privilegios de root. Un ejemplo de explotación es el envío de una petición GET especialmente manipulada o el uso de un enlace malicioso incrustado en una página web, facilitando la cadena de ataque sin necesidad de headers o tokens de autenticación.
La explotación de esta vulnerabilidad puede llevar a compromiso total del dispositivo afectado, permitiendo desde manipulación de datos meteorológicos hasta el uso del sistema como punto de entrada para ataques más amplios dentro de la red. Al tratarse de un fallo no autenticado y de fácil ejecución, el riesgo de ataques automatizados (botnets) es particularmente alto, especialmente en redes que expongan estos servicios a Internet o a segmentos vulnerables.
La principal medida recomendada es actualizar Meteobridge a la versión 6.2 o superior, disponible desde el 13 de mayo de 2025. Adicionalmente, se aconseja restringir el acceso a la interfaz web únicamente a redes de gestión seguras, monitorizar logs de acceso y tráfico, y deshabilitar temporalmente la función vulnerable si la actualización inmediata no es posible. Para agencias federales, la CISA requiere la aplicación de parches antes del 23 de octubre de 2025.
La explotación activa de la CVE-2025-4008 subraya la importancia de mantener actualizados todos los dispositivos expuestos, así como de aplicar buenas prácticas de segmentación y monitorización. El caso Meteobridge pone de manifiesto que incluso dispositivos especializados pueden convertirse en vectores para comprometer infraestructuras críticas si no se gestionan adecuadamente.
