CISA додава активно експлоатирана грешка во безжичниот рутер Sierra што овозможува RCE напади

Американската агенција за сајбер-безбедност и безбедност на инфраструктурата (CISA) во петокот додаде сериозна ранливост што ги погодува Sierra Wireless AirLink ALEOS рутерите во својот каталог на Познати активно злоупотребувани ранливости (KEV), по извештаи за активна злоупотреба „во дивина“.

CVE‑2018‑4063 (CVSS оценка: 8,8/9,9) се однесува на ранливост за неограничено прикачување датотеки, која може да се злоупотреби за постигнување далечинско извршување на код (RCE) преку злонамерно HTTP барање.

„Специјално изработено HTTP барање може да прикачи датотека, со што се прикачува извршлив код кој е достапен преку веб‑серверот“, соопшти агенцијата. „Напаѓач може да испрати автентицирано HTTP барање за да ја активира оваа ранливост.“

Деталите за оваа шест години стара ранливост беа јавно објавени од Cisco Talos во април 2019 година, каде што беше опишана како искористлива ранливост за далечинско извршување на код во функцијата ACEManager „upload.cgi“ на Sierra Wireless AirLink ES450 фирмвер верзија 4.9.3. Talos ја пријавил ранливоста до канадската компанија уште во декември 2018 година.

„Оваа ранливост постои во можноста за прикачување датотеки кај шаблоните во AirLink 450“, соопшти компанијата. „При прикачување на шаблон‑датотеки, може да се наведе името на датотеката што се прикачува.“

„Нема ограничувања што ги штитат датотеките кои веќе се на уредот и се користат за нормално функционирање. Ако се прикачи датотека со исто име како датотека што веќе постои во директориумот, се наследуваат дозволите на таа датотека.“

Talos забележа дека некои од датотеките во директориумот (на пример, „fw_upload_init.cgi“ или „fw_status.cgi“) имаат извршни дозволи на уредот, што значи дека напаѓач може да испрати HTTP барања до endpoint‑от „/cgi-bin/upload.cgi“ и да прикачи датотека со исто име за да постигне извршување на код.

Ова дополнително се влошува поради фактот што ACEManager работи со root привилегии, што резултира со тоа секоја shell‑скрипта или извршлива датотека прикачена на уредот да се извршува со зголемени привилегии.

Додавањето на CVE‑2018‑4063 во KEV каталогот доаѓа еден ден по анализа со honeypot спроведена од Forescout во период од 90 дена, која откри дека индустриските рутери се најчесто напаѓаните уреди во оперативно‑технолошки (OT) средини. Заканувачите се обидувале да испорачаат botnet и malware за рударење криптовалути, како што се RondoDox, Redtail и ShadowV2, преку искористување на следните ранливости:

• CVE‑2024‑12856 (Four‑Faith рутери)
• CVE‑2024‑0012, CVE‑2024‑9474 и CVE‑2025‑0108 (Palo Alto Networks PAN‑OS)

Напади исто така биле забележани од претходно недокументиран кластер на закани наречен Chaya_005, кој искористил CVE‑2018‑4063 во почетокот на јануари 2024 година за да прикачи неидентификуван злонамерен payload со името „fw_upload_init.cgi.“ Од тогаш не се забележани дополнителни успешни обиди за експлоатација.

„Chaya_005 изгледа како поширока кампања за извидување, која тестира повеќе ранливости од различни добавувачи, наместо да се фокусира на една,“ изјавија од Forescout Research – Vedere Labs, додавајќи дека е веројатно овој кластер повеќе не претставува „значајна закана.“

Во светло на активната експлоатација на CVE‑2018‑4063, агенциите на Federal Civilian Executive Branch (FCEB) се советуваат да ги ажурираат своите уреди на поддржана верзија или да престанат со користење на производот најдоцна до 2 јануари 2026, бидејќи производот достигнал крај на поддршка.

Извори:

• The Hacker News – CISA Adds Actively Exploited Sierra Wireless Router Flaw Enabling RCE Attacks The Hacker News