CISA将可导致远程代码执行的Sierra Wireless路由器漏洞列为已遭利用

严重性：高 类型：漏洞利用

美国网络安全和基础设施安全局（CISA）于周五将一个影响Sierra Wireless AirLink ALEOS路由器的高严重性漏洞添加到其已知已遭利用漏洞（KEV）目录中，此前有报告称该漏洞在野遭到主动利用。CVE-2018-4063（CVSS评分：8.8/9.9）是一个不受限制的文件上传漏洞，可被利用以实现远程代码执行。

技术总结

CVE-2018-4063是在Sierra Wireless AirLink ALEOS路由器中发现的远程代码执行漏洞，特别影响ACEManager的upload.cgi功能。该漏洞源于一个缺乏适当验证和访问控制的不受限制的文件上传机制，允许经过身份验证的攻击者上传任意名称的文件。如果上传的文件覆盖了设备上现有的可执行文件（例如 fw_upload_init.cgi 或 fw_status.cgi），攻击者就可以以root权限执行任意代码，因为ACEManager以root身份运行。该漏洞最初由思科Talos在2018年报告，并于2019年公开披露。尽管年代久远，但近期观察到主动利用行为，导致CISA在2025年12月将其添加到已知已遭利用漏洞目录中。攻击者通过向 /cgi-bin/upload.cgi 端点发送特制的HTTP请求来利用此漏洞，上传可能危及路由器乃至更广泛网络的恶意负载。该漏洞在普遍使用此类路由器的运营技术（OT）环境中尤其危险，因为攻击者可以部署僵尸网络或加密货币挖矿程序、中断通信或获得持久访问权限。受影响设备已终止支持的状态加剧了此漏洞的风险，限制了供应商的补丁并增加了暴露风险。一个名为 Chaya_005 的威胁集群在2024年初被观察到利用此漏洞，不过近期没有报告成功的利用事件。该漏洞的利用需要身份验证，但可能导致设备完全失陷和在网络内的横向移动。

潜在影响

对于欧洲组织，特别是运营关键基础设施、制造业、交通运输和公用事业的组织，此漏洞构成重大风险。Sierra Wireless AirLink ALEOS路由器在欧洲的工业和运营技术环境中普遍部署。成功利用可能导致路由器完全失陷，使攻击者能够以root权限执行任意命令，可能中断网络通信、窃取敏感数据或部署诸如僵尸网络或加密货币挖矿程序等恶意软件。这可能导致运营停机、财务损失、声誉损害以及根据GDPR和NIS指令等框架的监管处罚。该漏洞存在于OT环境中引发了对关键服务安全性和可靠性的担忧。此外，受影响设备已终止支持的状态使修复工作复杂化，增加了暴露窗口。利用此漏洞的攻击者还可以将受感染的路由器用作更广泛网络入侵的跳板，将威胁升级到连接到OT网络的企业IT环境。

缓解建议

欧洲组织应优先考虑超出常规补丁建议的即时缓解步骤。首先，识别所有正在使用的Sierra Wireless AirLink ALEOS路由器，特别是已知易受攻击的版本（例如，固件4.9.3）。由于受影响设备已达到终止支持状态，组织应计划用已修复此漏洞的受支持型号替换设备。如果无法立即更换，请实施严格的网络分段，以将易受攻击的路由器与关键系统隔离，并限制对管理界面的访问。在路由器管理门户上强制执行强身份验证和访问控制，包括在可能的情况下使用多因素身份验证。监控网络流量中针对 /cgi-bin/upload.cgi 的异常HTTP请求和异常的文件上传活动。部署调整为检测CVE-2018-4063利用尝试的入侵检测/防御系统（IDS/IPS）。定期审计路由器固件版本和配置。与供应商联系以获取任何可用的安全公告或缓解措施。最后，将这些路由器纳入事件响应计划，为潜在的失陷场景做好准备。

受影响国家

德国、法国、英国、意大利、荷兰、西班牙、比利时、波兰、瑞典、芬兰