De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft vrijdag een zeer ernstige fout die invloed heeft op Sierra Wireless AirLink ALEOS-routers toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, na berichten over actieve exploitatie in het wild.
CVE-2018-4063 (CVSS-score: 8,8/9,9) verwijst naar een kwetsbaarheid voor het onbeperkt uploaden van bestanden die kan worden misbruikt om externe code uit te voeren door middel van een kwaadaardig HTTP-verzoek.
“Een speciaal vervaardigd HTTP-verzoek kan een bestand uploaden, waardoor uitvoerbare code wordt geüpload en routeerbaar is naar de webserver”, aldus het bureau. “Een aanvaller kan een geverifieerd HTTP-verzoek indienen om dit beveiligingslek te activeren.”
Details van de zes jaar oude fout werden in april 2019 publiekelijk gedeeld door Cisco Talos, waarin het werd beschreven als een exploiteerbare kwetsbaarheid voor het uitvoeren van externe code in de ACEManager “upload.cgi” -functie van Sierra Wireless AirLink ES450-firmwareversie 4.9.3. Talos meldde de fout in december 2018 bij het Canadese bedrijf.
“Deze kwetsbaarheid bestaat in de mogelijkheid om bestanden te uploaden van sjablonen binnen de AirLink 450”, aldus het bedrijf. “Bij het uploaden van sjabloonbestanden kunt u de naam opgeven van het bestand dat u uploadt.”
“Er zijn geen beperkingen die de bestanden beschermen die zich momenteel op het apparaat bevinden en die voor normaal gebruik worden gebruikt. Als een bestand wordt geüpload met dezelfde naam als het bestand dat al in de map bestaat, nemen we de rechten van dat bestand over.”
Talos merkte op dat sommige van de bestanden in de directory (bijvoorbeeld “fw_upload_init.cgi” of “fw_status.cgi”) uitvoerbare machtigingen hebben op het apparaat, wat betekent dat een aanvaller HTTP-verzoeken naar het “/cgi-bin/upload.cgi”-eindpunt kan sturen om een bestand met dezelfde naam te uploaden om code-uitvoering te bewerkstelligen.
Dit wordt nog verergerd door het feit dat ACEManager als root draait, waardoor elk shellscript of uitvoerbaar bestand dat naar het apparaat wordt geüpload, ook met verhoogde rechten wordt uitgevoerd.
De toevoeging van CVE-2018-4063 aan de KEV-catalogus komt een dag nadat uit een honeypot-analyse, uitgevoerd door Forescout over een periode van 90 dagen, bleek dat industriële routers de meest aangevallen apparaten zijn in operationele technologie (OT)-omgevingen, waarbij bedreigingsactoren proberen botnet- en cryptocurrency-miner-malwarefamilies zoals RondoDox, Redtail en ShadowV2 te leveren door gebruik te maken van de volgende fouten:
Er zijn ook aanvallen geregistreerd van een voorheen ongedocumenteerd dreigingscluster genaamd Chaya_005, dat begin januari 2024 CVE-2018-4063 bewapende om een niet-gespecificeerde kwaadaardige lading met de naam “fw_upload_init.cgi” te uploaden. Sindsdien zijn geen verdere succesvolle exploitatiepogingen meer waargenomen.
“Chaya_005 lijkt een bredere verkenningscampagne te zijn die de kwetsbaarheden van meerdere leveranciers test, in plaats van zich te concentreren op één enkele”, aldus Forescout Research – Vedere Labs, eraan toevoegend dat het cluster waarschijnlijk niet langer een “significante bedreiging” is.
In het licht van de actieve exploitatie van CVE-2018-4063 worden agentschappen van de Federal Civilian Executive Branch (FCEB) geadviseerd om hun apparaten bij te werken naar een ondersteunde versie of om het gebruik van het product vóór 2 januari 2026 te staken, aangezien de ondersteuningsstatus is bereikt.
