CISA Adds Actively Exploited Sierra Wireless Router Flaw Enabling RCE Attacks

Vulnérabilité Critique sur Routeurs Sierra Wireless : Exploitation Active Signalée

Une faille de sécurité sévère affectant les routeurs Sierra Wireless AirLink ALEOS, permettant l’exécution de code à distance, a été ajoutée au catalogue des vulnérabilités connues et exploitées par la CISA. Cette vulnérabilité, identifiée sous la référence CVE-2018-4063, fait l’objet d’exploitations actives.

Points Clés :

• Nature de la faille : Il s’agit d’une vulnérabilité d’upload de fichier non restreint.
• Mécanisme d’exploitation : Un attaquant authentifié peut envoyer une requête HTTP spécialement conçue pour uploader un fichier exécutable sur le serveur web.
• Impact : Cette action permet l’exécution de code à distance sur le routeur compromis.
• Privilèges élevés : Le service ACEManager, qui gère cette fonctionnalité, s’exécute avec les privilèges root. Par conséquent, tout code malveillant uploadé s’exécutera avec les droits administrateur, amplifiant le risque.
• Historique : La faille a été publiquement divulguée en avril 2019 par Cisco Talos, qui l’avait signalée à Sierra Wireless en décembre 2018.
• Exploitation récente : Des analyses récentes ont montré que des groupes de menace, notamment un cluster nommé Chaya_005, ont exploité cette vulnérabilité début 2024 pour déployer des charges utiles malveillantes.

Vulnérabilité :

• CVE-2018-4063 : Upload de fichier non restreint permettant l’exécution de code à distance via une requête HTTP malveillante.
  • Score CVSS : 8.8/9.9

Recommandations :

Les agences relevant du pouvoir exécutif civil fédéral (FCEB) sont instamment priées de mettre à jour leurs appareils vers une version supportée ou de cesser d’utiliser le produit d’ici le 2 janvier 2026, date à laquelle le support de ces routeurs prendra fin.

Source