CISAがSierra Wireless製ルーターの脆弱性をKEVカタログに追加

米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Sierra Wireless AirLink ALEOSルーターに影響を与える重大な脆弱性CVE-2018-4063を、既知の悪用された脆弱性（KEV）カタログに追加しました。これは、当該脆弱性が積極的に悪用されていることを組織に警告するものです。

積極的に悪用されているファイルアップロードの脆弱性

この脆弱性（CVE-2018-4063）は、Sierra Wireless AirLink ALEOSデバイスにおける危険なタイプの無制限ファイルアップロードの弱点に関連しています。具体的には、細工されたHTTPリクエストを通じて、攻撃者が実行可能なコードをウェブサーバーに直接アップロードすることを可能にします。

一度悪用されると、アップロードされた悪意のあるファイルは影響を受けるシステム上でルーティング可能かつ実行可能となり、攻撃者にリモートコード実行（RCE）の可能性をもたらします。この脆弱性は、アプリケーションがファイルアップロード操作中にファイルタイプを適切に検証できないというCWE-434に関連付けられています。

重要な点として、この脆弱性の悪用には認証が必要であり、攻撃者は攻撃を開始する前に有効な認証情報を取得する必要があります。

緩和策と組織への勧告

CISAは、影響を受けるSierra Wireless AirLink ALEOS製品がすでにサポート終了（EoL）またはサービス終了（EoS）となっている可能性があり、これらのデバイスを使用している組織にとって緩和策が著しく制限されることを指摘しています。パッチやベンダー提供の緩和策が利用できない場合、CISAは製品の使用を中止することを強く推奨しています。

この脆弱性は2025年12月12日にKEVカタログに追加され、連邦政府機関は2026年1月2日までにこの脆弱性に対処するための措置を講じる必要があります。CISAは、組織に対し以下のいずれかの対応を指示しています：

• ベンダーの指示に従って緩和策を適用する。
• クラウドサービスについては、拘束力のある運用指令（BOD）22-01の該当ガイダンスに従う。
• 影響を受ける製品の使用を完全に中止する。

CVE-2018-4063がランサムウェアキャンペーンで悪用されたかどうかは不明ですが、KEVカタログへの追加は積極的な悪用試行が確認されていることを裏付けています。Sierra Wireless AirLink ALEOSルーターを使用している組織は、直ちに自身の露出を評価し、推奨されるセキュリティ対策を実施するか、このリスクを排除するためにデバイスの交換を計画すべきです。

元記事: https://gbhackers.com/cisa-adds-actively-exploited-sierra-router-flaw/