No dia 7 de maio de 2025, a Cisco divulgou uma vulnerabilidade crítica em seu software Cisco IOS XE para Wireless LAN Controllers (WLCs), identificada como CVE-2025-20188, com uma pontuação CVSS de 10.0, indicando o mais alto nível de severidade.
Essa falha afeta a funcionalidade de Download de Imagem de Ponto de Acesso (AP) Out-of-Band e pode permitir que um atacante remoto, não autenticado, faça upload de arquivos arbitrários, realize ataques de path traversal e execute comandos com privilégios de root no sistema afetado.
Detalhes da Vulnerabilidade
A vulnerabilidade decorre da presença de um JSON Web Token (JWT) codificado diretamente no sistema, que não é adequadamente validado. Um atacante pode explorar essa falha enviando solicitações HTTPS maliciosas para a interface de download de imagens de AP. Para que a exploração seja bem-sucedida, a funcionalidade de Download de Imagem de AP Out-of-Band deve estar ativada no dispositivo, o que, por padrão, não está.
Os impactos de uma exploração bem-sucedida são graves:
-
Upload de arquivos arbitrários: Permite que o atacante insira arquivos maliciosos no sistema.
-
Path traversal: Possibilita o acesso a diretórios restritos.
-
Execução de comandos com privilégios de root: Dá ao atacante controle total sobre o dispositivo comprometido.
Produtos Afetados
A Cisco ainda não forneceu uma lista completa de versões específicas afetadas no momento da publicação do comunicado, mas confirmou que a vulnerabilidade está presente em dispositivos que utilizam o software Cisco IOS XE com a funcionalidade Out-of-Band AP Image Download habilitada.
Medidas de Mitigação
A Cisco já disponibilizou atualizações de software que corrigem essa vulnerabilidade. É altamente recomendável que os administradores de rede:
-
Verifiquem se a funcionalidade Out-of-Band AP Image Download está ativada em seus dispositivos.
-
Apliquem as atualizações de software fornecidas pela Cisco o mais rápido possível.
-
Monitorem os sistemas para atividades suspeitas, como tentativas de upload de arquivos não autorizados.
Não há soluções alternativas (workarounds) que eliminem completamente a vulnerabilidade, o que reforça a importância de aplicar as correções disponíveis.
Recomendações para Administradores
Para proteger suas redes, os administradores devem consultar o Cisco Security Advisory para obter informações detalhadas sobre as versões corrigidas, e avaliar a configuração atual dos dispositivos WLC e desativar a funcionalidade Out-of-Band AP Image Download, se não for necessária.
Também é importante implementar práticas de segurança robustas, como monitoramento contínuo e segmentação de rede, para minimizar o risco de exploração.
A vulnerabilidade CVE-2025-20188 representa um risco significativo para organizações que utilizam Cisco IOS XE Wireless LAN Controllers com a funcionalidade afetada ativada. A rápida aplicação das atualizações de software é essencial para mitigar possíveis ataques que podem comprometer completamente os dispositivos. Mantenha-se informado sobre novas atualizações da Cisco e priorize a segurança da sua infraestrutura de rede.
Referências:
Até a próxima.
