La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el viernes agregado una falla de alta gravedad que afecta a los enrutadores Sierra Wireless AirLink ALEOS a sus vulnerabilidades explotadas conocidas (KEV) catálogo, tras informes de explotación activa en la naturaleza.
CVE-2018-4063 (Puntuación CVSS: 8,8/9,9) se refiere a una vulnerabilidad de carga de archivos sin restricciones que podría explotarse para lograr la ejecución remota de código mediante una solicitud HTTP maliciosa.
«Una solicitud HTTP especialmente diseñada puede cargar un archivo, lo que da como resultado que el código ejecutable se cargue y se pueda enrutar al servidor web», dijo la agencia. «Un atacante puede realizar una solicitud HTTP autenticada para desencadenar esta vulnerabilidad».
Los detalles de la falla de seis años fueron compartido públicamente por Cisco Talos en abril de 2019, describiéndola como una vulnerabilidad de ejecución remota de código explotable en la función «upload.cgi» de ACEManager de la versión 4.9.3 del firmware Sierra Wireless AirLink ES450. Talos informó del defecto a la empresa canadiense en diciembre de 2018.
«Esta vulnerabilidad existe en la capacidad de carga de archivos de las plantillas dentro del AirLink 450», dijo la compañía. «Al cargar archivos de plantilla, puede especificar el nombre del archivo que está cargando».
«No existen restricciones que protejan los archivos que se encuentran actualmente en el dispositivo, utilizados para el funcionamiento normal. Si se carga un archivo con el mismo nombre del archivo que ya existe en el directorio, heredamos los permisos de ese archivo».
Talos notó que algunos de los archivos que existen en el directorio (por ejemplo, «fw_upload_init.cgi» o «fw_status.cgi») tienen permisos ejecutables en el dispositivo, lo que significa que un atacante puede enviar solicitudes HTTP al punto final «/cgi-bin/upload.cgi» para cargar un archivo con el mismo nombre para lograr la ejecución del código.
Esto se ve agravado por el hecho de que ACEManager se ejecuta como root, lo que hace que cualquier script de shell o ejecutable cargado en el dispositivo también se ejecute con privilegios elevados.
La incorporación de CVE-2018-4063 al catálogo KEV se produce un día después de que un análisis de honeypot realizado por Forescout durante un período de 90 días revelara que los enrutadores industriales son los dispositivos más atacados en entornos de tecnología operativa (OT), con actores de amenazas que intentan distribuir botnets y minero de criptomonedas familias de malware como RondoDox, cola rojay SombraV2 explotando los siguientes defectos:
También se han registrado ataques de un grupo de amenazas no documentado previamente llamado Chaya_005 que utilizó CVE-2018-4063 como arma a principios de enero de 2024 para cargar una carga útil maliciosa no especificada con el nombre «fw_upload_init.cgi». Desde entonces no se han detectado más intentos de explotación exitosos.
«Chaya_005 parece ser una campaña de reconocimiento más amplia que prueba las vulnerabilidades de múltiples proveedores en lugar de centrarse en una sola», Forescout Research – Vedere Labs dichoy agregó que es probable que el grupo ya no sea una «amenaza significativa».
A la luz de la explotación activa de CVE-2018-4063, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que actualicen sus dispositivos a un versión compatible o suspender el uso del producto antes del 2 de enero de 2026, ya que alcanzó el estado de fin de soporte.
Fuente