Meteobridge

Die Schwachstelle betrifft die Web-Oberfläche von Smartbedded Meteobridge, einem Gerät zur Erfassung und Verwaltung von Wetterstationsdaten. Über diese Oberfläche – umgesetzt mit CGI-Shell-Skripten und C-Programmen – verwalten Administratoren die Datenerfassung ihrer Wetterstation und das System selbst. Einer der bereitgestellten Endpunkte verarbeitet Eingaben fehlerhaft, sodass ein Angreifer eigene Betriebssystembefehle einschleusen kann (Command Injection). Ausnutzen lässt sich der Defekt aus der Ferne und ganz ohne Anmeldung: Ein unauthentifizierter Angreifer kann beliebige Befehle ausführen, und zwar mit Root-Rechten – also den höchsten Systemrechten und damit der vollständigen Kontrolle über das Gerät. Da die Verwaltungsoberfläche häufig über das Netzwerk erreichbar ist, steht dieser Angriffsweg unmittelbar offen. Betroffen sind die eingesetzten Meteobridge-Geräte, deren Übernahme dem Angreifer freie Hand über das gesamte System gibt.