La Agencia de Ciberseguridad e Infraestructura de Seguridad de EE.UU. (CISA) ha añadido la vulnerabilidad CVE-2018-4063, de alta severidad, que afecta a los routers Sierra Wireless AirLink ALEOS, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Esta decisión se tomó tras reportes de explotación activa en entornos reales.
CVE-2018-4063 (con un puntaje CVSS de 8.8/9.9) se refiere a una vulnerabilidad de carga de archivos sin restricciones que podría ser aprovechada para lograr la ejecución remota de código mediante una solicitud HTTP maliciosa. Un atacante autenticado puede enviar una solicitud HTTP especialmente diseñada para cargar un archivo ejecutable en el servidor web.
Cisco Talos ya había publicado detalles de esta vulnerabilidad en abril de 2019, describiéndola como una falla de ejecución remota de código explotable en la función “upload.cgi” de ACEManager en el firmware Sierra Wireless AirLink ES450 versión 4.9.3. Talos informó de la vulnerabilidad a la empresa canadiense en diciembre de 2018.
La vulnerabilidad reside en la capacidad de carga de archivos de plantillas dentro de AirLink 450. Al cargar archivos de plantilla, se puede especificar el nombre del archivo que se está cargando, sin restricciones que protejan los archivos existentes en el dispositivo. Si se carga un archivo con el mismo nombre de uno que ya existe en el directorio, hereda los permisos de ese archivo.
Algunos archivos en el directorio (por ejemplo, “fw_upload_init.cgi” o “fw_status.cgi”) tienen permisos de ejecución en el dispositivo. Un atacante puede enviar solicitudes HTTP al endpoint “/cgi-bin/upload.cgi” para cargar un archivo con el mismo nombre y lograr la ejecución de código. Además, ACEManager se ejecuta como root, lo que provoca que cualquier script de shell o ejecutable cargado en el dispositivo también se ejecute con privilegios elevados.
La adición de CVE-2018-4063 al catálogo KEV se produce un día después de que un análisis de honeypot realizado por Forescout revelara que los routers industriales son los dispositivos más atacados en entornos de tecnología operativa (OT), con actores de amenazas que intentan entregar botnets y malware de minería de criptomonedas.
Se han registrado ataques de un grupo de amenazas previamente no documentado llamado Chaya_005, que utilizó CVE-2018-4063 a principios de enero de 2024 para cargar una carga maliciosa no especificada con el nombre “fw_upload_init.cgi”. No se han detectado más esfuerzos de explotación exitosos desde entonces.
En vista de la explotación activa de CVE-2018-4063, se recomienda a las agencias de la Rama Ejecutiva Civil Federal (FCEB) que actualicen sus dispositivos a una versión compatible o que dejen de usar el producto antes del 2 de enero de 2026, ya que ha llegado al final de su vida útil.
En INGENIERÍA TELEMÁTICA SAS, comprendemos la criticidad de mantener su infraestructura segura y protegida. Si su empresa utiliza routers Sierra Wireless AirLink o cualquier otro dispositivo vulnerable, le invitamos a contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente. Nuestros expertos en ciberseguridad pueden ayudarle a evaluar su exposición al riesgo, implementar las mitigaciones necesarias y proteger su negocio de las amenazas emergentes.
Fuente original: Ver aquí