CISA将可导致远程代码执行的Sierra Wireless路由器漏洞列为正被积极利用

严重性：高 类型：漏洞利用

美国网络安全和基础设施安全局（CISA）于周五将一个影响Sierra Wireless AirLink ALEOS路由器的高严重性漏洞添加到了其已知被利用漏洞（KEV）目录中，此前已有关于该漏洞在野外被积极利用的报告。CVE-2018-4063（CVSS评分：8.8/9.9）是一个无限制文件上传漏洞，可被利用以实现远程代码执行。

技术摘要

CVE-2018-4063是在Sierra Wireless AirLink ALEOS路由器中发现的远程代码执行漏洞，尤其影响ACEManager的upload.cgi功能。该漏洞源于缺乏适当验证和访问控制的无限制文件上传机制，允许经过身份验证的攻击者上传任意名称的文件。如果上传的文件覆盖了设备上现有的可执行文件（例如fw_upload_init.cgi或fw_status.cgi），由于ACEManager以root权限运行，攻击者可以root权限执行任意代码。该漏洞最初由思科Talos在2018年报告，并于2019年公开披露。尽管存在已久，但近期观察到了活跃的利用活动，促使CISA在2025年12月将其添加到已知被利用漏洞目录。攻击者通过向/cgi-bin/upload.cgi端点发送特制的HTTP请求来利用此漏洞，上传可能危及路由器乃至更广泛网络的恶意负载。该漏洞在广泛应用这些路由器的运营技术（OT）环境中尤其危险，攻击者可以部署僵尸网络或加密货币挖矿程序、中断通信或获得持久访问权限。受影响设备已停止技术支持的状态加剧了漏洞风险，限制了供应商补丁的获取并增加了暴露风险。一个名为Chaya_005的威胁集群在2024年初被观察到武器化此漏洞，不过近期没有成功的利用报告。该漏洞的利用需要身份验证，但可导致设备完全被攻陷并在网络内横向移动。

潜在影响

对于欧洲的组织，特别是那些运营关键基础设施、制造、交通和公共事业的组织，此漏洞构成了重大风险。Sierra Wireless AirLink ALEOS路由器在欧洲的工业和运营技术环境中广泛部署。成功利用可导致路由器完全被攻陷，使攻击者能够以root权限执行任意命令，可能中断网络通信、窃取敏感数据或部署僵尸网络或加密货币挖矿程序等恶意软件。这可能导致运营停机、财务损失、声誉损害以及根据GDPR和NIS指令等框架的监管处罚。该漏洞存在于OT环境中，引发了对关键服务安全性和可靠性的担忧。此外，受影响设备停止技术支持的状态使修复工作复杂化，增加了暴露窗口。利用此漏洞的攻击者还可以将被攻陷的路由器用作更广泛网络入侵的跳板，将威胁升级到连接到OT网络的企业IT环境。

缓解建议

欧洲的组织应优先考虑超越通用修补建议的即时缓解步骤。首先，识别所有正在使用的Sierra Wireless AirLink ALEOS路由器，特别是已知易受攻击的版本（例如，固件4.9.3）。由于受影响设备已停止技术支持，组织应计划用已修补此漏洞的受支持型号替换设备。在无法立即更换的情况下，实施严格的网络分段，将易受攻击的路由器与关键系统隔离，并限制对管理界面的访问。在路由器管理门户上强制执行强身份验证和访问控制，包括在可能的情况下使用多因素认证。监控网络流量中针对/cgi-bin/upload.cgi的异常HTTP请求和异常的文件上传活动。部署针对检测CVE-2018-4063利用尝试进行调优的入侵检测/防御系统（IDS/IPS）。定期审核路由器固件版本和配置。与供应商联系以获取任何可用的安全公告或缓解措施。最后，将这些路由器纳入事件响应计划，为潜在的攻陷场景做好准备。

受影响国家

德国、法国、英国、意大利、荷兰、西班牙、比利时、波兰、瑞典、芬兰

来源： The Hacker News 发布日期： 2025年12月13日，星期六