严重性：高 类型：漏洞利用

CVE-2018-4063是Sierra Wireless AirLink ALEOS路由器中的一个高危远程代码执行漏洞，具体存在于ACEManager的upload.cgi功能中。它允许经过身份验证的攻击者通过特制的HTTP请求上传恶意文件，覆盖现有的可执行文件，并以root权限运行代码。该漏洞已在野外被积极利用，促使美国网络安全和基础设施安全局将其添加到“已知被利用漏洞”目录。该漏洞影响在运营技术环境中广泛使用的工业路由器，对依赖这些设备的组织构成了严重风险。使用这些路由器的欧洲实体面临着未经授权的控制、数据泄露和关键基础设施中断的风险。缓解措施要求立即更新固件或更换设备、实施严格的网络分段并加强对路由器流量的监控。在德国、法国和英国等工业及关键基础设施大量部署Sierra Wireless路由器的国家面临的风险最大。鉴于其易于利用、获得的高权限以及正被积极利用，其严重性评估为严重。

技术摘要

CVE-2018-4063是在Sierra Wireless AirLink ALEOS路由器中发现的远程代码执行漏洞，尤其影响ACEManager的upload.cgi功能。该漏洞源于一个缺乏适当验证和访问控制的无限制文件上传机制，允许经过身份验证的攻击者上传任意名称的文件。如果上传的文件覆盖了设备上现有的可执行文件（如fw_upload_init.cgi或fw_status.cgi），攻击者就可以以root权限执行任意代码，因为ACEManager以root身份运行。该漏洞最初由思科Talos于2018年报告，并于2019年公开披露。尽管漏洞已存在多年，但近期观察到了其被积极利用的情况，导致CISA在2025年12月将其添加到“已知被利用漏洞”目录。攻击者通过向/cgi-bin/upload.cgi端点发送特制的HTTP请求来利用此漏洞，上传可能危害路由器乃至更广泛网络的恶意载荷。该漏洞在运营技术环境中尤其危险，因为这些路由器在那里普遍使用，攻击者可以部署僵尸网络或加密货币挖矿程序、中断通信或获得持久访问权限。受影响设备已停止支持的状态加剧了该漏洞的影响，限制了厂商补丁的获取，增加了暴露风险。一个名为Chaya_005的威胁集群在2024年初被观察到武器化此漏洞，尽管近期没有成功利用的报告。利用此漏洞需要身份验证，但可能导致设备完全失陷和在网络内的横向移动。

潜在影响

对于欧洲组织，特别是那些运营关键基础设施、制造业、交通运输和公用事业的组织，此漏洞构成了重大风险。Sierra Wireless AirLink ALEOS路由器在欧洲各地的工业和运营技术环境中普遍部署。成功利用可导致路由器被完全控制，使攻击者能够以root权限执行任意命令，可能破坏网络通信、窃取敏感数据或部署诸如僵尸网络或加密货币挖矿程序之类的恶意软件。这可能导致运营停机、财务损失、声誉损害以及根据GDPR和NIS指令等框架面临的监管处罚。该漏洞存在于OT环境中，引发了人们对关键服务安全性和可靠性的担忧。此外，受影响设备的停止支持状态使修复工作复杂化，增加了暴露窗口。利用此漏洞的攻击者还可以将受感染的路由器用作更广泛网络入侵的跳板，将威胁升级至连接到OT网络的企业IT环境。

缓解建议

欧洲组织应优先考虑立即采取缓解措施，而不仅仅是通用的修补建议。首先，识别所有正在使用的Sierra Wireless AirLink ALEOS路由器，特别是已知易受攻击的版本（例如固件4.9.3）。由于受影响设备已达到停止支持状态，组织应计划用已修补此漏洞的支持型号更换设备。在无法立即更换的情况下，实施严格的网络分段，以隔离易受攻击的路由器与关键系统，并限制对管理界面的访问。在路由器管理门户上强制执行强身份验证和访问控制，尽可能包括多因素身份验证。监控网络流量中针对/cgi-bin/upload.cgi的异常HTTP请求和不寻常的文件上传活动。部署针对CVE-2018-4063利用尝试检测的入侵检测/防御系统。定期审核路由器固件版本和配置。与供应商联系以获取任何可用的安全公告或缓解措施。最后，将这些路由器纳入事件响应计划，为潜在的失陷场景做好准备。

受影响国家

德国、法国、英国、意大利、荷兰、西班牙、比利时、波兰、瑞典、芬兰

来源： The Hacker News 发布日期： 2025年12月13日，星期六