أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) ثغرة خطيرة في موجهات Sierra Wireless AirLink ALEOS إلى كتالوج الثغرات المستغلة فعليًا (KEV)، بعد تأكيد تقارير عن استغلالها في هجمات حقيقية. وتحمل الثغرة رقم CVE‑2018‑4063 وتُصنّف بدرجة خطورة تصل إلى 9.9، كونها تتيح رفع ملفات ضارة دون قيود عبر طلب HTTP خبيث، ما يؤدي إلى تنفيذ أوامر عن بُعد على الجهاز المستهدف.
وتوضح CISA أن الطلبات المصممة بعناية يمكنها رفع ملفات قابلة للتنفيذ إلى خادم الويب، شريطة أن يتمكن المهاجم من إرسال طلب HTTP مُصدق، وهو ما يجعل الثغرة شديدة الخطورة في البيئات الصناعية والحكومية التي تعتمد على هذه الموجهات.
جذور الثغرة: خلل في وظيفة upload.cgi يسمح باستبدال ملفات النظام
ظهرت تفاصيل الثغرة لأول مرة عام 2019 عبر تقرير من Cisco Talos، الذي كشف أن الخلل يكمن في وظيفة upload.cgi ضمن برنامج ACEManager في أجهزة AirLink ES450. وتسمح آلية رفع القوالب (Templates) للمهاجم بتحديد اسم الملف المرفوع، دون وجود أي قيود تمنع استبدال ملفات النظام الأصلية.
ويشير التقرير إلى أن بعض الملفات الموجودة مسبقًا في الجهاز — مثل fw_upload_init.cgi وfw_status.cgi — تحمل صلاحيات تنفيذ، ما يعني أن رفع ملف يحمل الاسم نفسه يؤدي إلى تشغيله مباشرة. وتتفاقم خطورة الهجوم لأن ACEManager يعمل بصلاحيات الجذر (root)، ما يمنح أي ملف ضار يتم رفعه القدرة على التحكم الكامل بالجهاز.
موجة هجمات تستهدف الموجهات الصناعية عبر ثغرات متعددة
يأتي إدراج الثغرة في KEV بعد يوم واحد من نشر Forescout لتحليل Honeypot استمر 90 يومًا، كشف أن الموجهات الصناعية هي الأكثر تعرضًا للهجمات في بيئات OT. وبيّن التقرير أن مجموعات التهديد حاولت نشر برمجيات تعدين العملات الرقمية وبوت نت مثل RondoDox وRedtail وShadowV2 عبر استغلال ثغرات متعددة، من بينها:
- CVE‑2024‑12856 في موجهات Four‑Faith
- CVE‑2024‑0012 وCVE‑2024‑9474 وCVE‑2025‑0108 في Palo Alto PAN‑OS
كما رُصدت هجمات من مجموعة تهديد غير موثقة سابقًا تُعرف باسم Chaya_005، والتي استغلت الثغرة CVE‑2018‑4063 مطلع عام 2024 لرفع حمولة خبيثة باسم fw_upload_init.cgi. وتشير Forescout إلى أن نشاط هذه المجموعة يبدو أقرب إلى حملة استطلاع واسعة لاختبار ثغرات متعددة، وأنها لم تعد تمثل تهديدًا كبيرًا في الوقت الحالي.
توصيات عاجلة قبل انتهاء الدعم الرسمي
نظرًا لاستمرار استغلال الثغرة، دعت CISA الوكالات الفيدرالية الأميركية إلى تحديث أجهزتها إلى إصدارات مدعومة أو التوقف عن استخدام هذه الموجهات نهائيًا قبل 2 يناير 2026، إذ إن المنتج وصل إلى نهاية دورة الدعم، ما يعني عدم صدور تحديثات أمنية مستقبلية له.
