La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente inserito una vulnerabilità critica che interessa i router Sierra Wireless AirLink ALEOS nel suo catalogo di vulnerabilità note ed attivamente sfruttate (KEV). Questa decisione arriva dopo segnalazioni di attacchi reali che sfruttano questa falla, identificata come CVE-2018-4063, con un punteggio CVSS di 8.8/9.9. La vulnerabilità consente l’upload di file senza restrizioni tramite richieste HTTP, permettendo così agli attaccanti di eseguire codice remoto sul dispositivo.

Il problema risiede nella funzione “upload.cgi” del firmware AirLink ES450 versione 4.9.3, che consente di caricare file sul router senza adeguati controlli. Un cybercriminale autenticato può inviare una richiesta HTTP appositamente realizzata e caricare file che sovrascrivono quelli esistenti con permessi eseguibili, come “fw_upload_init.cgi” o “fw_status.cgi”. Poiché il servizio ACEManager gira come root, qualsiasi script o file eseguibile caricato viene eseguito con privilegi elevati, aumentando così il rischio di compromissione totale del dispositivo.

Analisi degli attacchi recenti

Questa vulnerabilità, pubblica dal 2019, è diventata nuovamente d’attualità per via di campagne di attacco che prendono di mira router industriali in ambienti OT (Operational Technology). Analisi honeypot condotte da Forescout su un periodo di 90 giorni hanno evidenziato che i router industriali sono tra i dispositivi più attaccati, con tentativi di distribuzione di botnet e malware per il mining di criptovalute come RondoDox, Redtail e ShadowV2. Gli attaccanti sfruttano diverse vulnerabilità, tra cui proprio la CVE-2018-4063, e difetti simili in dispositivi di altri produttori come Four-Faith e Palo Alto Networks.

In particolare, un gruppo denominato Chaya_005 ha sfruttato la falla CVE-2018-4063 a inizio 2024 per caricare payload malevoli, anche se attacchi riusciti non sono stati più osservati da allora. Gli esperti sottolineano che Chaya_005 sembra impegnato in campagne di ricognizione ampie, testando falle di diversi vendor, piuttosto che concentrare gli sforzi su una singola vulnerabilità.

Indicazioni per la mitigazione

Visto lo sfruttamento attivo della falla, le agenzie federali americane sono state invitate ad aggiornare i dispositivi Sierra Wireless ad una versione supportata o a cessare l’utilizzo entro il 2 gennaio 2026, poiché il prodotto ha raggiunto la fine del supporto. La tempestiva gestione di queste vulnerabilità è fondamentale per la sicurezza delle infrastrutture di rete e per prevenire attacchi di tipo remote code execution che possono compromettere reti industriali e aziendali.