Agencja CISA ostrzega przed poważną luką w routerach Sierra Wireless AirLink ALEOS

Amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) w piątek dodała poważną lukę dotyczącą routerów Sierra Wireless AirLink ALEOS do swojego katalogu Znanych Wykorzystanych Wrażliwości (KEV), po doniesieniach o jej aktywnym wykorzystywaniu w przeszłości.

CVE-2018-4063 (wynik CVSS: 8.8/9.9) odnosi się do podatności na nieograniczony upload plików, która może być wykorzystana do zdalnego wykonania kodu za pomocą złośliwego żądania HTTP. „Szczególnie skonstruowane żądanie HTTP może przesłać plik, co skutkuje załadowaniem wykonawczego kodu na serwerze WWW” – poinformowała agencja. „Atakujący może wysłać uwierzytelnione żądanie HTTP, aby wywołać tę podatność.”

Informacje o tej sześciuletniej luce zostały publicznie udostępnione przez Cisco Talos w kwietniu 2019 roku, opisując ją jako podlegającą wykorzystaniu podatność na zdalne wykonanie kodu w funkcji „upload.cgi” urządzenia Sierra Wireless AirLink ES450 w wersji oprogramowania 4.9.3. Talos zgłosił ten problem kanadyjskiej firmie w grudniu 2018 roku.

„Ta podatność występuje w funkcjonalności uploadu plików szablonów w AirLink 450” – stwierdziła firma. „Podczas przesyłania plików szablonów możesz określić nazwę pliku, który przesyłasz.”

„Nie ma żadnych ograniczeń, które chroniłyby pliki obecne na urządzeniu, używane w normalnej operacji. Jeśli zostanie przesłany plik o tej samej nazwie co plik już istniejący w katalogu, dziedziczymy uprawnienia tego pliku.”

Talos zauważył, że niektóre z plików istniejących w katalogu (np. „fw_upload_init.cgi” czy „fw_status.cgi”) mają uprawnienia wykonawcze, co oznacza, że atakujący może wysłać żądania HTTP do punktu końcowego „/cgi-bin/upload.cgi”, aby przesłać plik o tej samej nazwie w celu osiągnięcia wykonania kodu.

Problem ten jest dodatkowo potęgowany przez fakt, że ACEManager działa z uprawnieniami administratora, co powoduje, że każdy skrypt powłoki lub plik wykonywalny załadowany na urządzenie również działa z podwyższonymi uprawnieniami.

Dodanie CVE-2018-4063 do katalogu KEV nastąpiło dzień po analizie honeypot przeprowadzonej przez Forescout, która ujawniła, że przemysłowe routery są najbardziej atakowanymi urządzeniami w środowiskach technologii operacyjnej (OT). Złośliwe oprogramowanie takich jak RondoDox, Redtail i ShadowV2 zostało dostarczone przez wykorzystanie następujących luk:

• CVE-2024-12856 (routery Four-Faith)
• CVE-2024-0012, CVE-2024-9474 oraz CVE-2025-0108 (systemy PAN-OS firmy Palo Alto Networks)

Odnotowano również ataki pochodzące od nieudokumentowanego do tej pory zagrożenia o nazwie Chaya_005, które w styczniu 2024 roku wykorzystało CVE-2018-4063 do przesłania nieokreślonego złośliwego ładunku nazwanego „fw_upload_init.cgi”. Od tego czasu nie odnotowano kolejnych prób wykorzystania.

„Chaya_005 wydaje się być szerszą kampanią rozpoznawczą testującą podatności wielu dostawców, a nie koncentrującą się na pojedynczym” – stwierdziły źródła Forescout Research – Vedere Labs, dodając, że klaster prawdopodobnie nie stanowi już „znacznego zagrożenia”.

W związku z aktywnym wykorzystywaniem CVE-2018-4063, agencje należące do Federalnej Wykonawczej Jednostki Rządowej (FCEB) są zalecane do aktualizacji swoich urządzeń do wspieranej wersji lub zaprzestania korzystania z produktu do 2 stycznia 2026 roku, ponieważ osiągnął status zakończenia wsparcia.