CISA alerta por explotación activa de vulnerabilidad crítica en routers Sierra Wireless usados en entornos industriales e IoT

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) incorporó una vulnerabilidad crítica que afecta a routers Sierra Wireless AirLink con sistema ALEOS a su catálogo de Known Exploited Vulnerabilities (KEV), confirmando que la falla está siendo explotada activamente en entornos reales.

La vulnerabilidad, identificada como CVE-2018-4063 y clasificada con una puntuación CVSS de 8.8, permite la ejecución remota de código (RCE) a través de la carga de archivos sin restricciones mediante solicitudes HTTP especialmente manipuladas. Aunque fue documentada originalmente en 2018, su explotación actual representa un riesgo significativo para infraestructuras que dependen de estos dispositivos para conectividad celular en ambientes OT, industriales e IoT.

Detalles técnicos de la vulnerabilidad

CVE-2018-4063 afecta a routers Sierra Wireless AirLink que ejecutan ALEOS y permite a un atacante ejecutar comandos arbitrarios sin necesidad de autenticación previa. La explotación exitosa compromete completamente el dispositivo, otorgando control sobre el router y, potencialmente, acceso lateral a la red interna conectada.

Si bien CISA no ha detallado públicamente las versiones específicas de firmware afectadas, la inclusión en el catálogo KEV confirma la existencia de explotación activa, lo que incrementa el nivel de urgencia para equipos de seguridad y operaciones. La responsabilidad de los parches recae en Semtech, empresa que adquirió Sierra Wireless, y que aún mantiene dispositivos ampliamente desplegados en campo.

Este caso pone nuevamente en evidencia un problema estructural en la seguridad de dispositivos de borde: vulnerabilidades antiguas que permanecen sin corregir durante años, especialmente en entornos donde los ciclos de actualización son largos o inexistentes.

Riesgo operativo e impacto en infraestructura crítica

Los sectores más expuestos incluyen manufactura, utilities, telecomunicaciones, transporte y servicios públicos, donde estos routers son utilizados para conectar sensores, sistemas SCADA, estaciones remotas y activos críticos.

Una explotación exitosa puede derivar en:

• Interrupciones operativas

• Acceso no autorizado a redes internas

• Manipulación o sabotaje de sistemas industriales

• Uso del dispositivo como punto de entrada para ataques más amplios

En regiones como América Latina, donde estos equipos suelen operar en ubicaciones remotas con supervisión limitada, el riesgo se amplifica debido a la baja visibilidad y a la dependencia de enlaces celulares para la operación continua.

Recomendaciones inmediatas para equipos de TI y seguridad

Ante la ausencia de parches confirmados, CISA recomienda aplicar medidas de mitigación defensiva de forma inmediata, entre ellas:

• Restringir el acceso a interfaces de administración desde redes externas

• Implementar segmentación de red para aislar dispositivos OT/IoT

• Monitorear tráfico HTTP anómalo hacia routers de borde

• Reforzar detección de intrusiones y capacidades de contención

• Mantener seguimiento activo a actualizaciones de firmware de Semtech

La explotación de una vulnerabilidad con más de seis años de antigüedad refuerza un mensaje claro para responsables de TI y ciberseguridad: la deuda técnica en dispositivos de infraestructura sigue siendo uno de los vectores más peligrosos y subestimados en la superficie de ataque actual.