La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una falla de alta gravedad que afecta a los enrutadores Sierra Wireless AirLink ALEOS a su catálogo de vulnerabilidades explotadas conocidas (KEV) luego de informes de que estaba siendo explotada en la naturaleza.
CVE-2018-4063 (puntuación CVSS: 8,8/9,9) hace referencia a una vulnerabilidad de carga de archivos sin restricciones que puede explotarse para provocar la ejecución remota de código a través de una solicitud HTTP maliciosa.
«Una solicitud HTTP especialmente diseñada podría resultar en la carga de un archivo, lo que podría resultar en la carga de un código ejecutable y su enrutamiento a un servidor web», dijo la agencia. «Un atacante podría crear una solicitud HTTP autenticada para desencadenar esta vulnerabilidad».
Cisco Talos publicó los detalles de la vulnerabilidad de seis años en abril de 2019 y la describió como una vulnerabilidad de ejecución remota de código explotable en la función «upload.cgi» de ACEManager de la versión 4.9.3 del firmware Sierra Wireless AirLink ES450. Talos informó de esta falla a la empresa canadiense en diciembre de 2018.
La compañía dice: «Esta vulnerabilidad existe en la función de carga de archivos de plantilla dentro de AirLink 450». Cuando carga un archivo de plantilla, puede especificar el nombre del archivo que está cargando.
«No hay restricciones para proteger los archivos que se encuentran actualmente en el dispositivo y se utilizan para operaciones normales. Si se carga un archivo con el mismo nombre que un archivo que ya existe en el directorio, heredará los permisos de ese archivo».
Talos notó que algunos archivos presentes dentro del directorio (como «fw_upload_init.cgi» y «fw_status.cgi») tienen permisos ejecutables en el dispositivo. Esto significa que un atacante puede enviar una solicitud HTTP al punto final «/cgi-bin/upload.cgi» para cargar un archivo con el mismo nombre y ejecutar el código.
Esto se ve agravado aún más por el hecho de que ACEManager se ejecuta como root, lo que significa que cualquier script de shell o ejecutable cargado en el dispositivo también se ejecutará con privilegios elevados.
La incorporación de CVE-2018-4063 al catálogo KEV se produce un día después de que el análisis de honeypot de 90 días de Forescout revelara que los enrutadores industriales son los dispositivos más atacados en entornos de tecnología operativa (OT), y los atacantes explotan las siguientes fallas para distribuir botnets y familias de malware criptominero como RondoDox, Redtail y ShadowV2.
También registramos un ataque de un grupo de amenazas no documentado previamente llamado Chaya_005 que utilizó CVE-2018-4063 como arma y cargó una carga útil maliciosa no especificada llamada ‘fw_upload_init.cgi’ a principios de enero de 2024. No se han detectado exploits exitosos desde entonces.
Forescout Research – Vedere Labs dijo: “Chaya_005 parece ser una operación de reconocimiento más amplia que prueba vulnerabilidades de múltiples proveedores en lugar de centrarse en una sola vulnerabilidad”, y agregó que es probable que el clúster ya no sea una “amenaza significativa”.
En vista de la explotación activa de CVE-2018-4063, las agencias del Poder Ejecutivo Civil Federal (FCEB) recomiendan que actualice sus dispositivos a una versión compatible o deje de usar el producto antes del 2 de enero de 2026, ya que ha alcanzado el estado de fin de vida útil.
Source link
