CVE-2018-4063 adalah definisi teknis untuk sebuah kerentanan keamanan siber tingkat tinggi yang secara spesifik menyerang router Sierra Wireless AirLink ALEOS. Secara sederhana, ini adalah cacat logika pada sistem manajemen file perangkat yang memungkinkan pihak luar menyusup dan mengambil alih kendali penuh melalui jaringan. Celah ini baru-baru ini dikonfirmasi oleh CISA telah dieksploitasi secara aktif oleh penjahat siber di internet liar.
Baru-baru ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) memutuskan untuk memasukkan kerentanan ini ke dalam katalog Known Exploited Vulnerabilities (KEV) mereka. Langkah ini diambil bukan tanpa alasan, melainkan karena adanya bukti nyata eksploitasi aktif. CVE-2018-4063 yang memiliki skor keparahan CVSS 8.8 hingga 9.9 ini pada dasarnya adalah kerentanan unrestricted file upload. Penjelasannya begini, seorang penyerang bisa membuat permintaan HTTP yang dirancang khusus (autentikasi dibutuhkan) untuk mengunggah file berbahaya ke server web router. Begitunya file itu masuk, kode di dalamnya bisa dieksekusi dan membuat jalur bagi peretas untuk mengontrol perangkat tersebut dari jarak jauh atau Remote Code Execution (RCE).
Sebenarnya, detail teknis mengenai “penyakit” ini bukanlah hal baru. Rekan-rekan kami di Cisco Talos sudah membagikan informasinya ke publik sejak April 2019, setelah melaporkannya ke perusahaan asal Kanada tersebut pada Desember 2018. Masalah utamanya terletak pada fungsi “upload.cgi” di dalam firmware ACEManager (versi 4.9.3 pada AirLink ES450). Kuranglebihnya, kerentanan ini eksis di kemampuan upload template pada perangkat AirLink 450. Saat mengunggah file template, sistem membiarkan pengguna menentukan nama file yang diunggah. Nah, di sinilah letak kesalahannya: nggak ada batasan atau restriction yang melindungi file-file yang sedang berjalan di perangkat untuk operasi normal.
Mekanismenya cukup licik. Jika sebuah file diunggah dengan nama yang persis sama dengan file yang sudah ada di direktori, maka file baru tersebut akan menimpa file lama dan—ini yang krusial—mewarisi izin (permissions) dari file yang ditimpa itu. Talos mencatat bahwa beberapa file yang ada di direktori, seperti “fw_upload_init.cgi” atau “fw_status.cgi”, sudah memiliki izin eksekusi. Jadi, penyerang cukup mengirim HTTP request ke endpoint “/cgi-bin/upload.cgi”, menimpa salah satu file tadi dengan skrip jahat mereka, dan voila, kode eksekusi tercapai. Hal ini diperparah dengan fakta bahwa ACEManager berjalan sebagai root. Artinya, skrip shell atau executable apa pun yang berhasil disusupkan akan berjalan dengan hak istimewa tertinggi. Rasanya seperti memberikan kunci brankas utama kepada pencuri.
Penambahan CVE-2018-4063 ke katalog KEV ini terjadi hanya sehari setelah analisis honeypot dari Forescout mengungkapkan fakta yang cukup mengkhawatirkan. Laporan tersebut menunjukkan bahwa router industri adalah perangkat yang paling sering diserang di lingkungan Teknologi Operasional (OT). Mereka, para aktor ancaman ini, mencoba mengirimkan malware botnet dan penambang cryptocurrency seperti keluarga malware RondoDox, Redtail, dan ShadowV2. Serangan-serangan ini juga tercatat berasal dari klaster ancaman yang sebelumnya tidak terdokumentasi bernama Chaya_005. Kelompok ini terpantau mempersenjatai CVE-2018-4063 pada awal Januari 2024 untuk mengunggah payload berbahaya dengan nama “fw_upload_init.cgi”. Meskipun sepertinya ini adalah kampanye pengintaian atau reconnaissance untuk menguji kerentanan berbagai vendor, tetap saja ini sinyal bahaya yang nggak boleh diabaikan.
Kesimpulan
Berdasarkan pengamatan kami terhadap situasi ini, fenomena bangkitnya celah lawas berumur enam tahun ini menjadi pengingat keras bahwa kerentanan siber itu tidak memiliki tanggal kedaluwarsa bagi para peretas. Begitunya ada celah terbuka, pasti akan ada yang mencoba masuk. Bagi rekan-rekanita yang mengelola infrastruktur jaringan, terutama di sektor pemerintahan atau industri yang menggunakan perangkat Sierra Wireless lawas, opsinya sekarang sangat terbatas. Mengingat produk ini sudah mencapai status end-of-support, langkah paling bijak adalah segera melakukan pembaruan ke versi yang didukung atau mengganti perangkat sepenuhnya sebelum tenggat waktu Januari 2026 yang disarankan otoritas. Jangan biarkan jaringan OT kalian menjadi pintu masuk bagi botnet hanya karena router tua yang terlupakan. Terimakasih sudah menyimak ulasan definisi teknis ini.