La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una falla de alta gravedad que afecta a los enrutadores Sierra Wireless AirLink ALEOS a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de explotación activa en la naturaleza.
CVE-2018-4063 (puntuación CVSS: 8,8/9,9) hace referencia a una vulnerabilidad de carga de archivos sin restricciones que podría explotarse para lograr la ejecución remota de código mediante una solicitud HTTP maliciosa.
«Una solicitud HTTP especialmente diseñada puede cargar un archivo, lo que da como resultado que el código ejecutable se cargue y se pueda enrutar al servidor web», dijo la agencia. «Un atacante puede realizar una solicitud HTTP autenticada para desencadenar esta vulnerabilidad».
Cisco Talos compartió públicamente los detalles de la falla de seis años en abril de 2019, describiéndola como una vulnerabilidad de ejecución remota de código explotable en la función «upload.cgi» de ACEManager de la versión 4.9.3 del firmware Sierra Wireless AirLink ES450. Talos informó del defecto a la empresa canadiense en diciembre de 2018.
«Esta vulnerabilidad existe en la capacidad de carga de archivos de las plantillas dentro del AirLink 450», dijo la compañía. «Al cargar archivos de plantilla, puede especificar el nombre del archivo que está cargando».
«No existen restricciones que protejan los archivos que se encuentran actualmente en el dispositivo, utilizados para el funcionamiento normal. Si se carga un archivo con el mismo nombre del archivo que ya existe en el directorio, heredamos los permisos de ese archivo».
Talos notó que algunos de los archivos que existen en el directorio (por ejemplo, «fw_upload_init.cgi» o «fw_status.cgi») tienen permisos ejecutables en el dispositivo, lo que significa que un atacante puede enviar solicitudes HTTP al punto final «/cgi-bin/upload.cgi» para cargar un archivo con el mismo nombre para lograr la ejecución del código.
Esto se ve agravado por el hecho de que ACEManager se ejecuta como root, lo que hace que cualquier script de shell o ejecutable cargado en el dispositivo también se ejecute con privilegios elevados.
La adición de CVE-2018-4063 al catálogo KEV se produce un día después de que un análisis de honeypot realizado por Forescout durante un período de 90 días revelara que los enrutadores industriales son los dispositivos más atacados en entornos de tecnología operativa (OT), con actores de amenazas que intentan entregar familias de malware de minería de criptomonedas y botnets como RondoDox, Redtail y ShadowV2 explotando las siguientes fallas:
También se han registrado ataques de un grupo de amenazas no documentado previamente llamado Chaya_005 que utilizó CVE-2018-4063 como arma a principios de enero de 2024 para cargar una carga útil maliciosa no especificada con el nombre «fw_upload_init.cgi». Desde entonces no se han detectado más intentos de explotación exitosos.
«Chaya_005 parece ser una campaña de reconocimiento más amplia que prueba múltiples vulnerabilidades de proveedores en lugar de centrarse en una sola», dijo Forescout Research – Vedere Labs, añadiendo que es probable que el clúster ya no sea una «amenaza significativa».
A la luz de la explotación activa de CVE-2018-4063, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que actualicen sus dispositivos a una versión compatible o suspendan el uso del producto antes del 2 de enero de 2026, ya que alcanzó el estado de fin de soporte.
