Cuma günü ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), vahşi ortamda aktif istismar raporlarının ardından Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna Sierra Wireless AirLink ALEOS yönlendiricilerini etkileyen yüksek önemde bir kusur ekledi.
CVE-2018-4063 (CVSS puanı: 8,8/9,9), kötü amaçlı bir HTTP isteği aracılığıyla uzaktan kod yürütmek için yararlanılabilecek, sınırsız dosya yükleme güvenlik açığını ifade eder.
Ajans, “Özel hazırlanmış bir HTTP isteği, bir dosya yükleyebilir ve bu da yürütülebilir kodun web sunucusuna yüklenmesine ve yönlendirilebilir olmasına neden olabilir” dedi. “Bir saldırgan, bu güvenlik açığını tetiklemek için kimliği doğrulanmış bir HTTP isteğinde bulunabilir.”
Altı yıllık kusurun ayrıntıları Nisan 2019’da Cisco Talos tarafından kamuya açıklanmış ve bu güvenlik açığı, Sierra Wireless AirLink ES450 donanım yazılımı sürüm 4.9.3’ün ACEManager “upload.cgi” işlevindeki istismar edilebilir bir uzaktan kod yürütme güvenlik açığı olarak tanımlanmıştı. Talos, kusuru Aralık 2018’de Kanadalı şirkete bildirdi.
Şirket, “Bu güvenlik açığı AirLink 450 içindeki şablonların dosya yükleme özelliğinde mevcuttur” dedi. “Şablon dosyalarını yüklerken yüklediğiniz dosyanın adını belirtebilirsiniz.”
“Şu anda cihazda bulunan ve normal çalışma için kullanılan dosyaları koruyan herhangi bir kısıtlama yoktur. Dizinde zaten mevcut olan dosyayla aynı adı taşıyan bir dosya yüklenirse, o dosyanın izinlerini devralırız.”
Talos, dizinde bulunan bazı dosyaların (örneğin, “fw_upload_init.cgi” veya “fw_status.cgi”) cihazda yürütülebilir izinlere sahip olduğunu, bunun da bir saldırganın kod yürütmeyi gerçekleştirmek için aynı adda bir dosya yüklemek üzere “/cgi-bin/upload.cgi” uç noktasına HTTP istekleri gönderebileceği anlamına geldiğini belirtti.
Bu, ACEManager’ın kök olarak çalışması ve dolayısıyla cihaza yüklenen herhangi bir kabuk komut dosyasının veya yürütülebilir dosyanın da yükseltilmiş ayrıcalıklarla çalışmasına neden olması gerçeğiyle birleşir.
CVE-2018-4063’ün KEV kataloğuna eklenmesi, Forescout tarafından 90 günlük bir süre boyunca gerçekleştirilen bal küpü analizinin, endüstriyel yönlendiricilerin operasyonel teknoloji (OT) ortamlarında en çok saldırıya uğrayan cihazlar olduğunu ortaya koymasından bir gün sonra geldi; tehdit aktörleri aşağıdaki kusurlardan yararlanarak RondoDox, Redtail ve ShadowV2 gibi botnet ve kripto para madencilerine yönelik kötü amaçlı yazılım aileleri sunmaya çalışıyor:
Ayrıca, Ocak 2024’ün başlarında CVE-2018-4063’ü “fw_upload_init.cgi” adıyla belirtilmemiş bir kötü amaçlı yük yüklemek üzere silah haline getiren Chaya_005 adlı daha önce belgelenmemiş bir tehdit kümesinden de saldırılar kaydedildi. O zamandan bu yana başka başarılı bir kullanım çabası tespit edilmedi.
Forescout Research – Vedere Labs, “Chaya_005, tek bir satıcıya odaklanmak yerine birden fazla satıcının güvenlik açığını test eden daha geniş bir keşif kampanyası gibi görünüyor” dedi ve kümenin muhtemelen artık “önemli bir tehdit” olmadığını ekledi.
CVE-2018-4063’ün aktif kullanımı ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarına, cihazlarını desteklenen bir sürüme güncellemeleri veya ürün destek sonu durumuna ulaştığı için 2 Ocak 2026’ya kadar ürünün kullanımını durdurmaları tavsiye edilir.