A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou nesta sexta-feira ao seu catálogo Known Exploited Vulnerabilities (KEV) uma vulnerabilidade de alta gravidade que afeta os roteadores Sierra Wireless AirLink ALEOS.
A inclusão se deu após registros de exploração ativa da falha em ambiente real.
Identificada como
CVE-2018-4063
, com pontuação CVSS de 8,8 numa escala de 0 a 10, a vulnerabilidade permite upload irrestrito de arquivos, possibilitando a execução remota de código por meio de requisições HTTP maliciosas.
Segundo a CISA, uma requisição HTTP especialmente criada pode enviar um arquivo executável para o servidor web, explorando o bug.
A exploração, no entanto, exige autenticação prévia.
Descoberta há seis anos, essa falha foi divulgada publicamente pela Cisco Talos em abril de 2019.
Trata-se de uma vulnerabilidade na função "upload.cgi" do firmware ACEManager da série AirLink ES450, versão 4.9.3.
A Talos comunicou o problema ao fabricante canadense Sierra Wireless em dezembro de 2018.
Na prática, a falha está na funcionalidade de upload dos templates do AirLink 450, onde o nome do arquivo enviado pode sobrescrever arquivos existentes no dispositivo usados em sua operação normal.
Sem restrições para proteger os arquivos originais, um ataque pode substituir um arquivo legítimo por outro malicioso com o mesmo nome.
Alguns desses arquivos possuem permissões executáveis, o que permite a execução remota de código com privilégios elevados, já que o ACEManager roda como root.
A inclusão do
CVE-2018-4063
no catálogo KEV ocorre após um estudo de 90 dias conduzido pela Forescout com honeypots, que identificou roteadores industriais como os alvos mais frequentes em ambientes de tecnologia operacional (OT).
Os atacantes têm explorado vulnerabilidades para disseminar malwares, como botnets e miners de criptomoedas, incluindo as famílias RondoDox, Redtail e ShadowV2.
Entre as falhas mais exploradas estão os CVEs 2024-12856 (roteadores Four-Faith) e 2024-0012, 2024-9474 e 2025-0108 (Palo Alto Networks PAN-OS).
Além disso, em janeiro de 2024 foi identificado um grupo de ameaças até então desconhecido, chamado Chaya_005, que utilizou a
CVE-2018-4063
para carregar um payload malicioso batizado de "fw_upload_init.cgi".
Desde então, não há novos relatos de explorações bem-sucedidas.
A Forescout Research – Vedere Labs destaca que o grupo Chaya_005 aparenta ser uma campanha de reconhecimento, testando múltiplas vulnerabilidades em diversos fornecedores, e que atualmente não representa uma ameaça significativa.
Diante da exploração ativa da
CVE-2018-4063
, a CISA recomenda que as agências do Federal Civilian Executive Branch (FCEB) atualizem seus dispositivos para versões suportadas ou suspendam o uso dos roteadores afetados até 2 de janeiro de 2026, data em que o produto alcança o fim do suporte oficial.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...