RCE из прошлого

Если вам казалось, что баги 2018 года давно умерли и покрылись пылью в архивах CVE, то держите пиво. CISA внезапно выкатила CVE-2018-4063 в свой KEV-лист, потому что этот дедовский эксплойт внезапно ожил и снова раздает remote code execution направо и налево. Да, шесть лет спустя. Да, все еще работает. Да, кто-то снова забыл пропатчиться.

Речь идет про Sierra Wireless AirLink с ALEOS, а точнее про ACEManager и его легендарный upload.cgi. Уязвимость простая, как ping без -c: unrestricted file upload. Отправляешь специально собранный HTTP-запрос, заливаешь файл, подсовываешь ему имя существующего CGI — и поздравляем, у тебя RCE. Нужна аутентификация? Формально да. Практически — вопрос времени и фантазии атакующего.

Суть бага выглядит как учебник «Как не надо писать веб-интерфейсы для роутеров». В AirLink 450 есть механизм загрузки шаблонов. Можно указать имя файла. И вот тут начинается магия: никаких ограничений на перезапись системных файлов нет. Если ты заливаешь файл с тем же именем, что уже лежит в директории, устройство заботливо наследует ему права доступа. А среди этих файлов есть вполне себе executable, вроде fw_upload_init.cgi или fw_status.cgi.

И тут начинается праздник. Ты загружаешь свой payload под именем fw_upload_init.cgi, дергаешь его через HTTP — и получаешь выполнение кода. Вишенка на торте: ACEManager работает от root. Никаких sudo, никаких танцев с бубном — сразу ring 0, сразу полный контроль. Любой шелл-скрипт или бинарь стартует с максимальными привилегиями, потому что безопасность — это, видимо, опционально.

Cisco Talos еще в 2019 году аккуратно разложили все по полочкам и показали, как именно это эксплуатируется. Они сообщили Sierra Wireless еще в декабре 2018-го, опубликовали детали в апреле 2019-го, все чинно и благородно. Казалось бы, история закрыта. Но нет.

Перематываем пленку в 2024–2025. Forescout ставит honeypot’ы и три месяца смотрит, кто ломится в OT-сети. И внезапно выясняется, что промышленные роутеры — это просто шведский стол для ботнетов и майнеров. Летят попытки затащить RondoDox, Redtail, ShadowV2 и прочий зоопарк. Эксплуатируются свежие дыры, вроде CVE-2024-12856 в Four-Faith или пачка багов в PAN-OS, но среди всего этого всплывает и наш старый знакомый CVE-2018-4063.

Отдельный привет получает кластер с милым названием Chaya_005. Ребята в начале января 2024 года решили вспомнить классику и начали дергать AirLink через тот самый upload.cgi, заливая payload под именем fw_upload_init.cgi. Без изысков, без obfuscation, просто олдскульный RCE. По данным исследователей, кампания больше походила на разведку боем: проверяли разные вендоры, разные баги, без явного фокуса. После этого активность по этому вектору сошла на нет, но сам факт остается фактом — эксплойт жив.

CISA, увидев все это, сделала то, что делает всегда: добавила уязвимость в KEV и сказала федеральным агентствам «чините или выкидывайте». Для FCEB установлен дедлайн: либо обновляйтесь до поддерживаемой версии, либо прекращайте использование устройства до 2 января 2026 года. Спойлер: поддерживаемых версий может и не быть, потому что продукт давно end-of-support.

Мораль истории простая и старая, как /etc/passwd. IoT и OT-железки живут в проде годами, патчи на них ставят редко, а веб-интерфейсы там пишутся так, будто интернета не существует. В итоге багу шесть лет, а он все еще приносит root тем, кто не поленился загуглить старый PoC.

Так что если у вас где-то в углу сети стоит Sierra Wireless AirLink, который «работает и не трогай», — поздравляем, он может работать не только на вас. А CVE-2018-4063 в очередной раз доказал: настоящий хакерский evergreen — это не zero-day, а забытый one-day, про который все решили, что он никому не нужен.