أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية حرجة تضرب أجهزة التوجيه Sierra Wireless AirLink ALEOS إلى قائمة الثغرات المعروفة والمستغلة (KEV)، وذلك عقب تقارير عن استغلال نشط لها في أنظمة حقيقية. هذه الخطوة تأتي في سياق متزايد لتهديدات الأمن السيبراني التي تستهدف البنية التحتية الحيوية.
تتعلق الثغرة، المعروفة بالرمز CVE-2018-4063، بتمكين رفع ملفات غير مقيدة، مما يسمح بتنفيذ تعليمات برمجية عن بعد عبر طلب HTTP خبيث. هذه الثغرة، التي ظلت معروفة منذ عام 2018، عادت لتشكل تهديداً جديداً مع تقارير عن استغلالها.
تهديد CVE-2018-4063: تفاصيل الثغرة واستغلالها
تم الكشف عن تفاصيل الثغرة، التي يعود تاريخها إلى ست سنوات، بواسطة فريق Cisco Talos في أبريل 2019. وصف التقرير الثغرة بأنها قابلة للاستغلال لتنفيذ تعليمات برمجية عن بعد ضمن وظيفة “upload.cgi” في برنامج Sierra Wireless AirLink ES450 الثابت، بإصدار 4.9.3.
وفقاً لـ Talos، فإن الثغرة تكمن في قدرة رفع الملفات ضمن قوالب جهاز AirLink 450. يمكن للمهاجم تحديد اسم الملف المراد رفعه، ولا توجد قيود تحمي الملفات الموجودة على الجهاز، والتي تستخدم للتشغيل العادي.
في حال قام المهاجم برفع ملف بنفس اسم ملف موجود بالفعل في الدليل، فإنه يرث صلاحيات ذلك الملف. وبما أن بعض الملفات الموجودة في الدليل، مثل “fw_upload_init.cgi” أو “fw_status.cgi”، تتمتع بصلاحيات تنفيذ، فإن المهاجم يمكنه استغلالها لتنفيذ تعليمات برمجية.
تأثير صلاحيات الجذر (Root)
يزداد الأمر خطورة كون برنامج ACEManager يعمل بصلاحيات الجذر (root)، مما يعني أن أي نص برمجي أو ملف تنفيذي يتم رفعه إلى الجهاز سيرث هذه الصلاحيات العالية، مما يمنح المهاجم سيطرة واسعة.
سياق أوسع: الهجمات على أجهزة التوجيه الصناعية
يأتي إدراج CVE-2018-4063 في قائمة KEV بعد يوم واحد من كشف تحليل أجرته شركة Forescout على مدار 90 يوماً، والذي أشار إلى أن أجهزة التوجيه الصناعية هي الأكثر تعرضاً للهجمات في بيئات التكنولوجيا التشغيلية (OT). يسعى المهاجمون إلى نشر برمجيات خبيثة مثل برامج الروبوت (botnet) ومعدني العملات الرقمية.
أفادت Forescout أن هناك تكتلاً غير موثق سابقاً، أطلقت عليه اسم Chaya_005، قام بتسليح CVE-2018-4063 في أوائل يناير 2024 لرفع حمولة خبيثة غير محددة باسم “fw_upload_init.cgi”. لم يتم اكتشاف أي جهود استغلال ناجحة أخرى منذ ذلك الحين.
من جهتها، أشارت Forescout Research – Vedere Labs إلى أن Chaya_005 يبدو وكأنه حملة استطلاع أوسع تختبر ثغرات متعددة عبر بائعين مختلفين، بدلًا من التركيز على ثغرة واحدة. وتشير إلى أنه من غير المرجح أن يمثل هذا التهديد خطراً كبيراً في الوقت الحالي.
توجيهات للمؤسسات الفيدرالية
في ضوء الاستغلال النشط لـ CVE-2018-4063، تم تقديم نصائح لوكالات الخدمة المدنية الفيدرالية الأمريكية بتحديث أجهزتها إلى إصدار مدعوم أو وقف استخدام المنتج بحلول 2 يناير 2026، حيث أن المنتج قد وصل إلى مرحلة نهاية الدعم.