CISA ostrzega przed poważną luką w routerach Sierra Wireless AirLink ALEOS

Amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) w piątek dodała nową, poważną lukę, która dotyczy routerów Sierra Wireless AirLink ALEOS, do swojego katalogu Znanych Wykorzystywanych Wrażliwości (KEV) po doniesieniach o aktywnym jej wykorzystywaniu w sieci.

Opisana jako CVE-2018-4063 (z oceną CVSS: 8.8/9.9), luka ta dotyczy nieograniczonego przesyłania plików, które może zostać wykorzystane do zdalnego wykonania kodu za pomocą złośliwego żądania HTTP. „Specjalnie skonstruowane żądanie HTTP może przesłać plik, co skutkuje załadowaniem i uruchomieniem kodu na serwerze WWW,” zaznaczyła agencja. „Napastnik może wysłać uwierzytelnione żądanie HTTP, aby aktywować tę lukę.”

Szczegóły dotyczące tej sześcioletniej luki zostały publicznie ujawnione przez Cisco Talos w kwietniu 2019 roku, gdzie opisano ją jako lukę umożliwiającą zdalne wykonanie kodu w funkcji „upload.cgi” systemu ACEManager na firmware Sierra Wireless AirLink ES450 w wersji 4.9.3. Talos zgłosił tę lukę kanadyjskiej firmie w grudniu 2018 roku.

„Ta luka istnieje w możliwości przesyłania plików szablonów w AirLink 450,” zauważyła firma. „Podczas przesyłania plików szablonów można określić nazwę pliku, który przesyłamy.”

„Nie ma żadnych ograniczeń, które chroniłyby pliki obecne na urządzeniu, używane do normalnej pracy. Jeżeli plik o tej samej nazwie jak już istniejący w katalogu jest przesyłany, to odzyskujemy jego uprawnienia.”

Talos podkreślił, że niektóre pliki w katalogu (np. „fw_upload_init.cgi” lub „fw_status.cgi”) mają uprawnienia do wykonywania na urządzeniu, co oznacza, że napastnik może wysłać żądania HTTP do punktu końcowego „/cgi-bin/upload.cgi” w celu przesłania pliku o tej samej nazwie i osiągnięcia wykonania kodu.

Warto dodać, że ACEManager działa jako root, co powoduje, że każdy skrypt powłoki lub wykonywalny plik przesłany do urządzenia również działa z podwyższonymi uprawnieniami.

Statystyki ataków i zalecenia

Dodanie CVE-2018-4063 do katalogu KEV miało miejsce dzień po analizie przeprowadzonej przez Forescout, która wykazała, że routery przemysłowe są najczęściej atakowanymi urządzeniami w środowisku technologii operacyjnej (OT). Złośliwe oprogramowanie, takie jak botnety i minery kryptowalut, takie jak RondoDox, Redtail i ShadowV2, są zazwyczaj dostarczane poprzez następujące luki:

• CVE-2024-12856 (routery Four-Faith)
• CVE-2024-0012, CVE-2024-9474 oraz CVE-2025-0108 (Palo Alto Networks PAN-OS)

Odnotowano również ataki ze strony wcześniej nieudokumentowanego zagrożenia, nazwanego Chaya_005, które wykorzystało CVE-2018-4063 na początku stycznia 2024 roku do przesłania nieokreślonego złośliwego ładunku o nazwie „fw_upload_init.cgi.” Od tego czasu nie odnotowano dalszych skutecznych prób wykorzystania.

„Chaya_005 wydaje się być szerszą kampanią rozpoznawczą, testującą wiele luk u różnych dostawców zamiast koncentrować się na jednej,” powiedziała firma Forescout Research – Vedere Labs, dodając, że z prawdopodobieństwem klaster ten nie stanowi już „znacznego zagrożenia.”

W związku z aktywnym wykorzystywaniem CVE-2018-4063, agencje Rządowego Wykonawczego Oddziału Cywilnego (FCEB) są zalecane do zaktualizowania swoich urządzeń do wspieranej wersji lub zaprzestania korzystania z produktu do 2 stycznia 2026 roku, gdyż osiągnął on status zakończenia wsparcia.