Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Sáu đã bổ sung một lỗ hổng nghiêm trọng ảnh hưởng đến các bộ định tuyến Sierra Wireless AirLink ALEOS vào danh mục Known Exploited Vulnerabilities (KEV) của mình, sau các báo cáo về việc lỗ hổng này đang bị khai thác tích cực trong thực tế.
CVE-2018-4063 (điểm CVSS: 8.8/9.9) là một lỗ hổng tải lên tệp không hạn chế có thể bị khai thác để thực hiện remote code execution thông qua một HTTP request độc hại.
"Một HTTP request được tạo đặc biệt có thể tải lên một tệp, dẫn đến việc mã thực thi được tải lên và có thể định tuyến đến máy chủ web," cơ quan này cho biết. "Kẻ tấn công có thể thực hiện một HTTP request đã được xác thực để kích hoạt lỗ hổng này."
Thông tin chi tiết về lỗ hổng đã tồn tại sáu năm này được công bố bởi Cisco Talos vào tháng 4 năm 2019, mô tả nó là một lỗ hổng remote code execution có thể bị khai thác trong chức năng "upload.cgi" của ACEManager thuộc firmware Sierra Wireless AirLink ES450 phiên bản 4.9.3. Talos đã báo cáo lỗ hổng này cho công ty Canada vào tháng 12 năm 2018.
"Lỗ hổng này tồn tại trong khả năng tải lên tệp của các template trong AirLink 450," công ty cho biết. "Khi tải lên các tệp template, bạn có thể chỉ định tên của tệp bạn đang tải lên."
"Không có hạn chế nào được đặt ra để bảo vệ các tệp hiện có trên thiết bị, được sử dụng cho hoạt động bình thường. Nếu một tệp được tải lên với cùng tên của tệp đã tồn tại trong thư mục, thì chúng tôi sẽ kế thừa quyền của tệp đó."
Talos lưu ý rằng một số tệp tồn tại trong thư mục (ví dụ: "fw_upload_init.cgi" hoặc "fw_status.cgi") có quyền thực thi trên thiết bị, nghĩa là kẻ tấn công có thể gửi HTTP request đến điểm cuối "/cgi-bin/upload.cgi" để tải lên một tệp có cùng tên nhằm đạt được code execution.
Điều này trở nên phức tạp hơn bởi thực tế là ACEManager chạy với quyền root, do đó bất kỳ shell script hoặc tệp thực thi nào được tải lên thiết bị cũng sẽ chạy với đặc quyền nâng cao.
Bối cảnh: Router công nghiệp là mục tiêu tấn công hàng đầu
Việc CVE-2018-4063 được thêm vào danh mục KEV diễn ra một ngày sau khi một phân tích honeypot do Forescout thực hiện trong 90 ngày tiết lộ rằng các router công nghiệp là những thiết bị bị tấn công nhiều nhất trong môi trường operational technology (OT), với các tác nhân đe dọa cố gắng phân phối các họ mã độc botnet và cryptocurrency miner như RondoDox, Redtail và ShadowV2 bằng cách khai thác các lỗ hổng sau:
- CVE-2024-12856 (router Four-Faith)
- CVE-2024-0012, CVE-2024-9474 và CVE-2025-0108 (Palo Alto Networks PAN-OS)
Nhóm mối đe dọa Chaya_005 và hoạt động khai thác
Các cuộc tấn công cũng đã được ghi nhận từ một nhóm mối đe dọa chưa từng được ghi nhận trước đây có tên Chaya_005, nhóm này đã vũ khí hóa CVE-2018-4063 vào đầu tháng 1 năm 2024 để tải lên một payload độc hại không xác định với tên "fw_upload_init.cgi". Kể từ đó, không có thêm nỗ lực khai thác thành công nào được phát hiện.
"Chaya_005 dường như là một chiến dịch trinh sát rộng hơn nhằm kiểm tra nhiều lỗ hổng của các nhà cung cấp khác nhau thay vì chỉ tập trung vào một lỗ hổng duy nhất," Forescout Research – Vedere Labs cho biết, đồng thời thêm rằng nhóm này có thể không còn là "mối đe dọa đáng kể" nữa.
Trước tình hình CVE-2018-4063 đang bị khai thác tích cực, các cơ quan Federal Civilian Executive Branch (FCEB) được khuyến nghị cập nhật thiết bị của mình lên phiên bản được hỗ trợ hoặc ngừng sử dụng sản phẩm trước ngày 2 tháng 1 năm 2026, vì sản phẩm này đã đạt đến trạng thái hết hỗ trợ.
