La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una error de inscripción compostura que afecta a los enrutadores Sierra Wireless AirLink ALEOS a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de explotación activa en la naturaleza.
CVE-2018-4063 (puntuación CVSS: 8,8/9,9) hace relato a una vulnerabilidad de carga de archivos sin restricciones que podría explotarse para ganar la ejecución remota de código mediante una solicitud HTTP maliciosa.
“Una solicitud HTTP especialmente diseñada puede cargar un archivo, lo que da como resultado que el código ejecutable se cargue y se pueda enrutar al servidor web”, dijo la agencia. “Un atacante puede realizar una solicitud HTTP autenticada para desencadenar esta vulnerabilidad”.
Cisco Talos compartió públicamente los detalles de la error de seis abriles en abril de 2019, describiéndola como una vulnerabilidad de ejecución remota de código explotable en la función “upload.cgi” de ACEManager de la interpretación 4.9.3 del firmware Sierra Wireless AirLink ES450. Talos informó del defecto a la empresa canadiense en diciembre de 2018.
“Esta vulnerabilidad existe en la capacidad de carga de archivos de las plantillas en el interior del AirLink 450”, dijo la compañía. “Al cargar archivos de plantilla, puede especificar el nombre del archivo que está cargando”.
“No existen restricciones que protejan los archivos que se encuentran actualmente en el dispositivo, utilizados para el funcionamiento común. Si se carga un archivo con el mismo nombre del archivo que ya existe en el directorio, heredamos los permisos de ese archivo”.
Talos notó que algunos de los archivos que existen en el directorio (por ejemplo, “fw_upload_init.cgi” o “fw_status.cgi”) tienen permisos ejecutables en el dispositivo, lo que significa que un atacante puede despachar solicitudes HTTP al punto final “/cgi-bin/upload.cgi” para cargar un archivo con el mismo nombre para ganar la ejecución del código.
Esto se ve agravado por el hecho de que ACEManager se ejecuta como root, lo que hace que cualquier script de shell o ejecutable cargado en el dispositivo incluso se ejecute con privilegios elevados.
La añadidura de CVE-2018-4063 al catálogo KEV se produce un día luego de que un descomposición de honeypot realizado por Forescout durante un período de 90 días revelara que los enrutadores industriales son los dispositivos más atacados en entornos de tecnología operativa (OT), con actores de amenazas que intentan entregar familias de malware de minería de criptomonedas y botnets como RondoDox, Redtail y ShadowV2 explotando las siguientes fallas:
Todavía se han registrado ataques de un comunidad de amenazas no documentado previamente llamado Chaya_005 que utilizó CVE-2018-4063 como pertrechos a principios de enero de 2024 para cargar una carga útil maliciosa no especificada con el nombre “fw_upload_init.cgi”. Desde entonces no se han detectado más intentos de explotación exitosos.
“Chaya_005 parece ser una campaña de registro más amplia que prueba múltiples vulnerabilidades de proveedores en área de centrarse en una sola”, dijo Forescout Research – Vedere Labs, añadiendo que es probable que el clúster ya no sea una “amenaza significativa”.
A la luz de la explotación activa de CVE-2018-4063, se recomienda a las agencias del Poder Ejecutante Civil Federal (FCEB) que actualicen sus dispositivos a una interpretación compatible o suspendan el uso del producto ayer del 2 de enero de 2026, ya que alcanzó el estado de fin de soporte.
