Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sierra Wireless AirLink ALEOS yönlendiricilerini etkileyen kritik bir güvenlik açığını Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekleyerek kuruluşları vahşi ortamda aktif istismar konusunda uyardı.
Aktif Saldırı Altında Kritik Dosya Yükleme Güvenlik Açığı
CVE-2018-4063 olarak takip edilen güvenlik açığı, Sierra Wireless AirLink ALEOS cihazlarında tehlikeli türde bir zayıflığa sahip sınırsız dosya yüklemeyi içeriyor.
Bu güvenlik açığı, saldırganların özel hazırlanmış bir HTTP isteği aracılığıyla yürütülebilir kodu doğrudan web sunucusuna yüklemesine olanak tanır.
Yüklenen kötü amaçlı dosyalar, istismar edildikten sonra etkilenen sistemde yönlendirilebilir ve yürütülebilir hale gelir ve saldırganlara olası uzaktan kod yürütme yetenekleri sağlanır.
Güvenlik açığı, uygulamaların yükleme işlemleri sırasında dosya türlerini doğru şekilde doğrulayamadığı zayıflıkları tanımlayan CWE-434 ile ilişkilidir.
Özellikle, bu kusurdan yararlanmak için kimlik doğrulamanın gerekli olması, saldırganların bir saldırı başlatmadan önce öncelikle geçerli kimlik bilgileri edinmesi gerektiği anlamına geliyor.
CISA, etkilenen Sierra Wireless AirLink ALEOS ürünlerinin kullanım ömrü sonu (EoL) veya hizmet sonu (EoS) olabileceğini ve bu durumun, bu cihazları hâlâ kullanan kuruluşlar için etki azaltma seçeneklerini önemli ölçüde sınırladığını belirtti.
Yamaların veya satıcının sağladığı hafifletici önlemlerin mevcut olmaması durumunda kullanıcılara ürünü kullanmayı bırakmaları şiddetle tavsiye edilir.
12 Aralık 2025’te KEV kataloğuna eklenen federal kurumların bu güvenlik açığını gidermek için 2 Ocak 2026’ya kadar harekete geçmesi gerekiyor.
CISA, kuruluşlara satıcı talimatlarına göre azaltımları uygulamaları, bulut hizmetleri için Bağlayıcı Operasyonel Direktif (BOD) 22-01’deki geçerli rehberleri takip etmeleri veya etkilenen ürünlerin kullanımını tamamen durdurmaları yönünde talimat verir.
CVE-2018-4063’ün fidye yazılımı saldırılarında kullanılıp kullanılmadığı bilinmemekle birlikte, KEV kataloğuna dahil edilmesi, aktif istismar girişimlerini doğruluyor.
Sierra Wireless AirLink ALEOS yönlendiricilerini kullanan kuruluşlar, bu riskleri derhal değerlendirmeli ve önerilen güvenlik önlemlerini uygulamalı veya bu riski ortadan kaldırmak için cihaz değişimini planlamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.