В центре внимания специалистов по кибербезопасности вновь оказалась критическая проблема CVE-2018-4063, получившая оценки серьезности CVSS 8.8 и 9.9. Эта уязвимость классифицируется как неограниченная загрузка файлов, что открывает злоумышленникам возможность удаленного выполнения кода (RCE) на пораженном устройстве. Механизм атаки базируется на использовании специально созданного вредоносного HTTP-запроса, позволяющего загружать исполняемый код, который становится доступным для веб-сервера. Для успешной эксплуатации бреши злоумышленнику требуется отправить аутентифицированный HTTP-запрос.
Проблема затрагивает продукцию канадской компании Sierra Wireless, в частности маршрутизатор AirLink ES450 с версией прошивки 4.9.3. Уязвимость кроется в компоненте ACEManager, а именно в функции «upload.cgi», отвечающей за загрузку шаблонов. Коренная причина дефекта заключается в отсутствии ограничений для защиты файлов, используемых устройством в штатном режиме, что позволяет пользователям произвольно задавать имя загружаемого объекта.
Техническая реализация атаки происходит через отправку HTTP-запросов на конечную точку «/cgi-bin/upload.cgi». Хакеры загружают файл с именем, идентичным имени уже существующего в каталоге файла. В результате загруженный объект перезаписывает легитимный файл и наследует его права доступа. Основными целями для подмены становятся файлы, уже обладающие правами на исполнение, такие как «fw_upload_init.cgi» и «fw_status.cgi». Поскольку ACEManager работает с правами root, любой загруженный скрипт оболочки или исполняемый файл запускается с повышенными привилегиями, предоставляя атакующему полный контроль над системой.
Впервые данная брешь была обнаружена специалистами Cisco Talos. Информация об уязвимости была передана производителю в декабре 2018 года, а публичное раскрытие данных произошло в апреле 2019 года. Несмотря на то, что с момента обнаружения прошло около шести лет, проблема остается актуальной из-за специфики использования оборудования в промышленных и корпоративных сетях, где обновления не всегда устанавливаются оперативно.
Недавние исследования, проведенные Forescout Research – Vedere Labs, выявили активность, связанную с кластером угроз «Chaya_005». Наблюдаемая кампания носила характер широкой разведки, направленной на тестирование уязвимостей множества вендоров, а не на атаку конкретного устройства. Хотя эксперты отмечают, что на текущий момент данная активность, вероятно, больше не представляет «значительной угрозы» и успешных эксплуатаций после начальных наблюдений за фрагментами «cgi» не зафиксировано, сам факт сканирования указывает на сохраняющийся интерес злоумышленников к устаревшим системам.
Реагируя на потенциальные риски, Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило CVE-2018-4063 в свой каталог активно эксплуатируемых уязвимостей. Это решение влечет за собой обязательные действия для агентств Федеральной гражданской исполнительной власти (FCEB). Регулятор предписывает обновить устройства до поддерживаемой версии или полностью прекратить их использование.
Крайний срок выполнения требований CISA установлен на 2 января 2026 года. Столь длительный срок обусловлен тем, что продукт AirLink ES450 достиг статуса окончания поддержки (end-of-support). Это означает, что производитель больше не выпускает регулярные патчи безопасности, и единственным надежным способом защиты инфраструктуры становится вывод уязвимого оборудования из эксплуатации и замена его на современные аналоги.
Изображение носит иллюстративный характер
Проблема затрагивает продукцию канадской компании Sierra Wireless, в частности маршрутизатор AirLink ES450 с версией прошивки 4.9.3. Уязвимость кроется в компоненте ACEManager, а именно в функции «upload.cgi», отвечающей за загрузку шаблонов. Коренная причина дефекта заключается в отсутствии ограничений для защиты файлов, используемых устройством в штатном режиме, что позволяет пользователям произвольно задавать имя загружаемого объекта.
Техническая реализация атаки происходит через отправку HTTP-запросов на конечную точку «/cgi-bin/upload.cgi». Хакеры загружают файл с именем, идентичным имени уже существующего в каталоге файла. В результате загруженный объект перезаписывает легитимный файл и наследует его права доступа. Основными целями для подмены становятся файлы, уже обладающие правами на исполнение, такие как «fw_upload_init.cgi» и «fw_status.cgi». Поскольку ACEManager работает с правами root, любой загруженный скрипт оболочки или исполняемый файл запускается с повышенными привилегиями, предоставляя атакующему полный контроль над системой.
Впервые данная брешь была обнаружена специалистами Cisco Talos. Информация об уязвимости была передана производителю в декабре 2018 года, а публичное раскрытие данных произошло в апреле 2019 года. Несмотря на то, что с момента обнаружения прошло около шести лет, проблема остается актуальной из-за специфики использования оборудования в промышленных и корпоративных сетях, где обновления не всегда устанавливаются оперативно.
Недавние исследования, проведенные Forescout Research – Vedere Labs, выявили активность, связанную с кластером угроз «Chaya_005». Наблюдаемая кампания носила характер широкой разведки, направленной на тестирование уязвимостей множества вендоров, а не на атаку конкретного устройства. Хотя эксперты отмечают, что на текущий момент данная активность, вероятно, больше не представляет «значительной угрозы» и успешных эксплуатаций после начальных наблюдений за фрагментами «cgi» не зафиксировано, сам факт сканирования указывает на сохраняющийся интерес злоумышленников к устаревшим системам.
Реагируя на потенциальные риски, Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило CVE-2018-4063 в свой каталог активно эксплуатируемых уязвимостей. Это решение влечет за собой обязательные действия для агентств Федеральной гражданской исполнительной власти (FCEB). Регулятор предписывает обновить устройства до поддерживаемой версии или полностью прекратить их использование.
Крайний срок выполнения требований CISA установлен на 2 января 2026 года. Столь длительный срок обусловлен тем, что продукт AirLink ES450 достиг статуса окончания поддержки (end-of-support). Это означает, что производитель больше не выпускает регулярные патчи безопасности, и единственным надежным способом защиты инфраструктуры становится вывод уязвимого оборудования из эксплуатации и замена его на современные аналоги.
