A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu uma vulnerabilidade crítica que afeta os roteadores Sierra Wireless AirLink em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A decisão foi tomada após a confirmação de que a falha está sendo explorada ativamente por hackers em ataques reais.
Identificada como CVE-2018-4063, a vulnerabilidade possui pontuação CVSS que varia entre 8.8 e 9.9 e permite a execução remota de código (RCE). A exploração ocorre por meio de um mecanismo de upload de arquivos que não impõe restrições adequadas. Segundo a CISA, um invasor pode enviar uma requisição HTTP especialmente elaborada para fazer o upload de um arquivo malicioso, resultando na execução direta de código no roteador afetado.
Embora grave, o problema não é recente. A falha foi divulgada publicamente em abril de 2019 pela Cisco Talos, que notificou a Sierra Wireless ainda em dezembro de 2018. A vulnerabilidade está presente na funcionalidade upload.cgi do ACEManager, componente do firmware dos roteadores AirLink, permitindo que arquivos enviados sobrescrevam arquivos existentes no sistema sem qualquer validação de permissões.
Pesquisadores apontam que alguns arquivos localizados no diretório do dispositivo, como fw_upload_init.cgi e fw_status.cgi, já possuem permissões de execução. Isso permite que um atacante faça o upload de um arquivo malicioso com o mesmo nome, obtendo execução remota de código. O risco é ampliado pelo fato de o ACEManager operar com privilégios de root, fazendo com que qualquer código enviado seja executado com permissões elevadas.
A inclusão da CVE-2018-4063 no catálogo KEV ocorre logo após a divulgação de um estudo da Forescout, que analisou ataques ao longo de 90 dias e identificou os roteadores industriais como os dispositivos mais visados em ambientes de tecnologia operacional (OT). O relatório indica que hackers têm explorado vulnerabilidades conhecidas para instalar botnets e mineradores de criptomoedas, como RondoDox, Redtail e ShadowV2.
O estudo também revelou a atuação de um grupo de invasores até então desconhecido, denominado Chaya_005, que explorou a CVE-2018-4063 no início de 2024 para enviar um payload malicioso utilizando o nome fw_upload_init.cgi. Apesar disso, não foram registradas novas explorações bem-sucedidas desde então, e os pesquisadores avaliam que o grupo não representa mais uma ameaça relevante.
Diante da exploração ativa da falha, a CISA recomenda que as agências federais civis dos Estados Unidos (FCEB) atualizem imediatamente os dispositivos para versões ainda suportadas ou interrompam completamente o uso desses roteadores até 2 de janeiro de 2026, data em que o produto já estará oficialmente fora de suporte.
Fonte: THN
