La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el viernes adicional una falla de alta gravedad que afecta a los enrutadores Sierra Wireless AirLink ALEOS y sus vulnerabilidades conocidas explotadas ( KEV ), tras los informes de explotación activa en la naturaleza.

CVE-2018-4063 (puntuación CVSS: 8,8/9,9) hace referencia a una vulnerabilidad de carga de archivos sin restricciones que podría aprovecharse para lograr la ejecución remota de código mediante una solicitud HTTP malintencionada.

«Una solicitud HTTP especialmente diseñada puede cargar un archivo, lo que hace que el código ejecutable se cargue y se pueda enrutar al servidor web», dijo la agencia. «Un atacante puede realizar una solicitud HTTP autenticada para activar esta vulnerabilidad».

Los detalles de la falla de seis años fueron compartido públicamente de Cisco Talos en abril de 2019, describiéndola como una vulnerabilidad explotable de ejecución remota de código en la función AceManager "upload.cgi" de la versión 4.9.3 del firmware Sierra Wireless AirLink ES450. Talos denunció la falla a la empresa canadiense en diciembre de 2018.

«Esta vulnerabilidad existe en la capacidad de carga de archivos de las plantillas del AirLink 450», afirma la empresa. «Al cargar archivos de plantilla, puede especificar el nombre del archivo que está cargando».

«No existen restricciones que protejan los archivos que se encuentran actualmente en el dispositivo y que se utilizan para su funcionamiento normal. Si se carga un archivo con el mismo nombre del archivo que ya existe en el directorio, heredamos los permisos de ese archivo».

Talos señaló que algunos de los archivos que existen en el directorio (por ejemplo, "fw_upload_init.cgi" o "fw_status.cgi «) tienen permisos ejecutables en el dispositivo, lo que significa que un atacante puede enviar solicitudes HTTP al punto final" /cgi-bin/upload.cgi "para cargar un archivo con el mismo nombre y lograr la ejecución del código.

Esto se ve agravado por el hecho de que AceManager se ejecuta como root, lo que hace que cualquier script de shell o ejecutable cargado en el dispositivo también se ejecute con privilegios elevados.

La incorporación del CVE-2018-4063 al catálogo de KEV se produce un día después de que un análisis exhaustivo realizado por Forescout durante un período de 90 días revelara que los enrutadores industriales son los dispositivos más atacados en los entornos de tecnología operativa (OT), y que los actores de amenazas intentan lanzar botnets y minero de criptomonedas familias de malware como Rondo Dox , Redtail , y ShadowV2 explotando los siguientes defectos -

También se han registrado ataques de un grupo de amenazas previamente indocumentado llamado Chaya_005 que utilizó el CVE-2018-4063 como arma a principios de enero de 2024 para cargar una carga maliciosa no especificada con el nombre «fw_upload_init.cgi». Desde entonces, no se ha detectado ningún otro intento exitoso de explotación.

«Chaya_005 parece ser una campaña de reconocimiento más amplia que pone a prueba las vulnerabilidades de varios proveedores en lugar de centrarse en una sola», Forescout Research — Vedere Labs dijo , añadiendo que es probable que el clúster ya no sea una «amenaza importante».

A la luz de la explotación activa de la CVE-2018-4063, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que actualicen sus dispositivos a versión compatible o dejar de usar el producto antes del 2 de enero de 2026, ya que ha alcanzado el estado de finalización del soporte.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.