CISA alerta para falha crítica explorada ativamente em roteadores Sierra Wireless

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou uma vulnerabilidade grave que afeta roteadores Sierra Wireless AirLink ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), após a confirmação de que a falha está sendo explorada ativamente por hackers no mundo real.

A vulnerabilidade, identificada como CVE-2018-4063 (com pontuação CVSS entre 8.8 e 9.9), permite execução remota de código (RCE) por meio de um mecanismo de upload de arquivos sem restrições adequadas. Segundo a CISA, um invasor pode enviar uma requisição HTTP especialmente criada para fazer o upload de um arquivo malicioso, resultando na execução de código diretamente no roteador.

O problema não é novo. A falha foi divulgada publicamente em abril de 2019 pela Cisco Talos, que relatou o caso à Sierra Wireless ainda em dezembro de 2018. A vulnerabilidade está presente na funcionalidade upload.cgi do ACEManager, componente do firmware dos roteadores AirLink, permitindo que arquivos enviados sobrescrevam arquivos existentes no sistema sem qualquer validação de permissões.

De acordo com os pesquisadores, alguns arquivos presentes no diretório do dispositivo como fw_upload_init.cgi e fw_status.cgi já possuem permissões de execução. Isso possibilita que um hacker faça o upload de um arquivo malicioso com o mesmo nome e, assim, obtenha execução remota de código. O cenário se agrava pelo fato de o ACEManager operar com privilégios de root, fazendo com que qualquer código enviado seja executado com permissões elevadas.

A decisão da CISA de incluir a CVE-2018-4063 no catálogo KEV ocorre logo após um estudo da Forescout, que analisou ataques durante 90 dias e concluiu que roteadores industriais são os dispositivos mais visados em ambientes de tecnologia operacional (OT). Segundo o relatório, hackers têm explorado falhas conhecidas para instalar botnets e mineradores de criptomoedas, como RondoDox, Redtail e ShadowV2.

O estudo também identificou a atuação de um grupo de invasores até então desconhecido, denominado Chaya_005, que explorou a CVE-2018-4063 no início de 2024 para enviar um payload malicioso usando o nome fw_upload_init.cgi. Apesar disso, não foram observadas novas explorações bem-sucedidas desde então, e os pesquisadores avaliam que o grupo não representa mais uma ameaça significativa.

Diante da exploração ativa da falha, a CISA recomenda que as agências federais civis dos Estados Unidos (FCEB) atualizem imediatamente os dispositivos para versões suportadas ou descontinuem completamente o uso desses roteadores até 2 de janeiro de 2026, já que o produto chegou oficialmente ao fim do suporte.

Via - THN