CISA bổ sung lỗ hổng đang bị khai thác trên bộ định tuyến Sierra Wireless

[T-X]

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Sáu đã bổ sung một lỗ hổng nghiêm trọng ảnh hưởng đến bộ định tuyến Sierra Wireless AirLink ALEOS vào danh mục Lỗ hổng bị khai thác đã biết ( KEV ) của mình, sau khi có báo cáo về việc khai thác lỗ hổng này trên thực tế.

CVE-2018-4063 (điểm CVSS: 8.8/9.9) đề cập đến lỗ hổng tải lên tập tin không hạn chế có thể bị khai thác để thực thi mã từ xa thông qua yêu cầu HTTP độc hại.

"Một yêu cầu HTTP được tạo ra đặc biệt có thể tải lên một tập tin, dẫn đến việc mã thực thi được tải lên và có thể định tuyến đến máy chủ web", cơ quan này cho biết. "Kẻ tấn công có thể thực hiện một yêu cầu HTTP được xác thực để kích hoạt lỗ hổng này."

Thông tin chi tiết về lỗ hổng bảo mật đã tồn tại sáu năm nay được Cisco Talos công khai vào tháng 4 năm 2019, mô tả nó là một lỗ hổng thực thi mã từ xa có thể khai thác được trong hàm "upload.cgi" của ACEManager thuộc phiên bản firmware 4.9.3 của Sierra Wireless AirLink ES450. Talos đã báo cáo lỗ hổng này cho công ty Canada vào tháng 12 năm 2018.

"Lỗ hổng này tồn tại trong chức năng tải lên tập tin của các mẫu trong AirLink 450," công ty cho biết. "Khi tải lên các tập tin mẫu, bạn có thể chỉ định tên của tập tin mà bạn đang tải lên."

"Hiện tại không có bất kỳ hạn chế nào được thiết lập để bảo vệ các tập tin đang có trên thiết bị, được sử dụng cho hoạt động bình thường. Nếu một tập tin được tải lên có cùng tên với tập tin đã tồn tại trong thư mục, thì chúng tôi sẽ kế thừa quyền truy cập của tập tin đó."

Talos lưu ý rằng một số tệp tồn tại trong thư mục (ví dụ: "fw_upload_init.cgi" hoặc "fw_status.cgi") có quyền thực thi trên thiết bị, nghĩa là kẻ tấn công có thể gửi yêu cầu HTTP đến điểm cuối "/cgi-bin/upload.cgi" để tải lên một tệp có cùng tên nhằm thực hiện mã độc.

Vấn đề này càng trở nên phức tạp hơn do ACEManager chạy với quyền root, do đó khiến bất kỳ tập lệnh shell hoặc tệp thực thi nào được tải lên thiết bị cũng đều chạy với quyền cao hơn.

Việc bổ sung CVE-2018-4063 vào danh mục KEV diễn ra một ngày sau khi phân tích honeypot do Forescout thực hiện trong khoảng thời gian 90 ngày cho thấy rằng các bộ định tuyến công nghiệp là thiết bị bị tấn công nhiều nhất trong môi trường công nghệ vận hành (OT), với các tác nhân đe dọa cố gắng phát tán các họ phần mềm độc hại botnet và khai thác tiền điện tử như RondoDox, Redtail và ShadowV2 bằng cách khai thác các lỗ hổng sau:

    CVE-2024-12856 (Bộ định tuyến Four-Faith)
    CVE-2024-0012, CVE-2024-9474 và CVE-2025-0108 (Palo Alto Networks PAN-OS)

Các cuộc tấn công cũng đã được ghi nhận từ một cụm mối đe dọa chưa từng được ghi nhận trước đây có tên Chaya_005, cụm này đã lợi dụng lỗ hổng CVE-2018-4063 vào đầu tháng 1 năm 2024 để tải lên một phần mềm độc hại không xác định có tên "fw_upload_init.cgi". Không có nỗ lực khai thác thành công nào khác được phát hiện kể từ đó.

"Chaya_005 dường như là một chiến dịch trinh sát quy mô lớn nhằm kiểm tra nhiều lỗ hổng bảo mật của các nhà cung cấp khác nhau thay vì tập trung vào một lỗ hổng duy nhất," Forescout Research – Vedere Labs cho biết, đồng thời nói thêm rằng cụm lỗ hổng này có thể không còn là "mối đe dọa đáng kể" nữa.

Trước tình trạng lỗ hổng bảo mật CVE-2018-4063 đang bị khai thác tích cực, các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) được khuyến cáo cập nhật thiết bị của mình lên phiên bản được hỗ trợ hoặc ngừng sử dụng sản phẩm này trước ngày 2 tháng 1 năm 2026, vì sản phẩm đã hết hạn hỗ trợ.