CISA បន្ថែមចំណុចខ្សោយរបស់ Sierra Wireless Router ដែលអាចឱ្យវាយប្រហារ RCE បាន

ទីភ្នាក់ងារសន្តិសុខហេដ្ឋារចនាសម្ព័ន្ធ និងសន្តិសុខតាមអ៊ីនធឺណិតរបស់សហរដ្ឋអាមេរិក (CISA) បានបន្ថែមកំហុសឆ្គងធ្ងន់ធ្ងរមួយដែលប៉ះពាល់ដល់រ៉ោតទ័រ Sierra Wireless AirLink ALEOS ទៅក្នុងកាតាឡុក Known Exploited Vulnerabilities (KEV) របស់ខ្លួន បន្ទាប់ពីមានរបាយការណ៍អំពីការកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងពិភពពិត។

CVE-2018-4063 (ពិន្ទុ CVSS៖ 8.8/9.9) សំដៅទៅលើភាពងាយរងគ្រោះនៃការផ្ទុកឡើងឯកសារដែលមិនមានការរឹតត្បិត ដែលអាចត្រូវបានកេងប្រវ័ញ្ចដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយតាមរយៈសំណើ HTTP ព្យាបាទ។

ទីភ្នាក់ងារនេះបាននិយាយថា "សំណើ HTTP ដែលបង្កើតឡើងជាពិសេសអាចផ្ទុកឡើងឯកសារ ដែលបណ្តាលឱ្យកូដដែលអាចប្រតិបត្តិបានត្រូវបានផ្ទុកឡើង និងអាចបញ្ជូនបន្តទៅកាន់ម៉ាស៊ីនបម្រើគេហទំព័របាន"។ "អ្នកវាយប្រហារអាចធ្វើការស្នើសុំ HTTP ដែលបានផ្ទៀងផ្ទាត់ដើម្បីបង្កឱ្យមានភាពងាយរងគ្រោះនេះ"។

ព័ត៌មានលម្អិតនៃចំណុចខ្សោយអាយុប្រាំមួយឆ្នាំនេះត្រូវបានចែករំលែកជាសាធារណៈដោយ Cisco Talos ក្នុងខែមេសា ឆ្នាំ២០១៩ ដោយពិពណ៌នាថាវាជាចំណុចខ្សោយនៃការប្រតិបត្តិកូដពីចម្ងាយដែលអាចកេងប្រវ័ញ្ចបាននៅក្នុងមុខងារ "upload.cgi" របស់ ACEManager នៃកម្មវិធីបង្កប់ Sierra Wireless AirLink ES450 កំណែ ៤.៩.៣។ Talos បានរាយការណ៍ពីចំណុចខ្សោយនេះទៅក្រុមហ៊ុនកាណាដាក្នុងខែធ្នូ ឆ្នាំ២០១៨។

ក្រុមហ៊ុនបាននិយាយថា "ចំណុចខ្សោយនេះមាននៅក្នុងសមត្ថភាពផ្ទុកឡើងឯកសារនៃគំរូនៅក្នុង AirLink 450"។ "នៅពេលផ្ទុកឡើងឯកសារគំរូ អ្នកអាចបញ្ជាក់ឈ្មោះឯកសារដែលអ្នកកំពុងផ្ទុកឡើង"។

"មិនមានការរឹតបន្តឹងណាមួយដែលការពារឯកសារដែលកំពុងស្ថិតនៅលើឧបករណ៍ ដែលប្រើសម្រាប់ប្រតិបត្តិការធម្មតានោះទេ។ ប្រសិនបើឯកសារត្រូវបានផ្ទុកឡើងជាមួយឈ្មោះដូចគ្នានៃឯកសារដែលមានរួចហើយនៅក្នុងថតឯកសារ នោះយើងទទួលមរតកសិទ្ធិអនុញ្ញាតនៃឯកសារនោះ"។

លោក Talos បានកត់សម្គាល់ថា ឯកសារមួយចំនួនដែលមាននៅក្នុងថតឯកសារ (ឧទាហរណ៍ "fw_upload_init.cgi" ឬ "fw_status.cgi") មានសិទ្ធិអនុញ្ញាតដែលអាចប្រតិបត្តិបាននៅលើឧបករណ៍ មានន័យថា អ្នកវាយប្រហារអាចផ្ញើសំណើ HTTP ទៅកាន់ចំណុចបញ្ចប់ "/cgi-bin/upload.cgi" ដើម្បីផ្ទុកឡើងឯកសារដែលមានឈ្មោះដូចគ្នា ដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដ។

រឿងនេះកាន់តែធ្ងន់ធ្ងរឡើងដោយការពិតដែលថា ACEManager ដំណើរការជា root ដោយហេតុនេះបណ្តាលឱ្យស្គ្រីបសែល ឬឯកសារដែលអាចប្រតិបត្តិបានណាមួយដែលបានផ្ទុកឡើងទៅកាន់ឧបករណ៍ដំណើរការដោយមានសិទ្ធិខ្ពស់។

ការបន្ថែម CVE-2018-4063 ទៅក្នុងកាតាឡុក KEV កើតឡើងមួយថ្ងៃបន្ទាប់ពីការវិភាគ honeypot ដែលធ្វើឡើងដោយ Forescout ក្នុងរយៈពេល 90 ថ្ងៃបានបង្ហាញថា រ៉ោតទ័រឧស្សាហកម្មគឺជាឧបករណ៍ដែលត្រូវបានវាយប្រហារច្រើនបំផុតនៅក្នុងបរិស្ថានបច្ចេកវិទ្យាប្រតិបត្តិការ (OT) ដោយអ្នកគំរាមកំហែងកំពុងព្យាយាមចែកចាយមេរោគ botnet និង cryptocurrency miner ដូចជា RondoDox, Redtail និង ShadowV2 ដោយកេងប្រវ័ញ្ចចំណុចខ្វះខាតដូចខាងក្រោម -

-CVE-2024-12856 (រ៉ោតទ័រ Four-Faith)

-CVE-2024-0012, CVE-2024-9474, និង CVE-2025-0108 (Palo Alto Networks PAN-OS)

ការវាយប្រហារក៏ត្រូវបានកត់ត្រាទុកពីចង្កោមគំរាមកំហែងដែលគ្មានឯកសារមួយឈ្មោះថា Chaya_005 ដែលបានប្រើប្រាស់ CVE-2018-4063 នៅដើមខែមករា ឆ្នាំ២០២៤ ដើម្បីផ្ទុកឡើងនូវបន្ទុកមេរោគដែលមិនបានបញ្ជាក់ឈ្មោះ "fw_upload_init.cgi"។ គ្មានកិច្ចខិតខំប្រឹងប្រែងកេងប្រវ័ញ្ចដែលទទួលបានជោគជ័យបន្ថែមទៀតត្រូវបានរកឃើញចាប់តាំងពីពេលនោះមក។

ក្រុមហ៊ុន Forescout Research – Vedere Labs បាននិយាយថា "Chaya_005 ហាក់ដូចជាយុទ្ធនាការឈ្លបយកការណ៍ដ៏ទូលំទូលាយមួយដែលសាកល្បងភាពងាយរងគ្រោះរបស់អ្នកលក់ច្រើនជាជាងផ្តោតលើភាពងាយរងគ្រោះតែមួយ" ដោយបន្ថែមថាវាទំនងជាចង្កោមនេះលែងជា "ការគំរាមកំហែងដ៏សំខាន់" ទៀតហើយ។

ដោយសារតែការកេងប្រវ័ញ្ចយ៉ាងសកម្មនៃ CVE-2018-4063 ទីភ្នាក់ងារសាខាប្រតិបត្តិស៊ីវិលសហព័ន្ធ (FCEB) ត្រូវបានណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពឧបករណ៍របស់ពួកគេទៅជាកំណែដែលគាំទ្រ ឬបញ្ឈប់ការប្រើប្រាស់ផលិតផលនៅថ្ងៃទី 2 ខែមករា ឆ្នាំ 2026 ចាប់តាំងពីវាបានឈានដល់ស្ថានភាពបញ្ចប់ការគាំទ្រ។