Detalhes técnicos sobre uma falha de gravidade máxima no upload arbitrário de arquivos no Cisco IOS XE WLC, rastreada como
CVE-2025-20188
, foram tornados públicos, aproximando-nos de um exploit funcional.
A análise feita pelos pesquisadores da Horizon3 não contém um script de exploração de execução remota de código (RCE) pronto para execução, mas fornece informações suficientes para que um atacante qualificado ou mesmo um LLM completem as lacunas restantes.
Devido ao risco imediato de armação e uso generalizado em ataques, recomenda-se que os usuários impactados tomem medidas agora para proteger seus endpoints.
A Cisco divulgou a falha crítica no software IOS XE para controladores de LAN sem fio em 7 de maio de 2025, o que permite a um atacante assumir o controle dos dispositivos.
O fornecedor disse que isso é causado por um JSON Web Token (JWT) codificado que permite a um atacante remoto não autenticado fazer upload de arquivos, realizar travessia de caminho e executar comandos arbitrários com privilégios de root.
O boletim observou que o
CVE-2025-20188
só é perigoso quando o recurso “Out-of-Band AP Image Download” está habilitado no dispositivo, caso em que os seguintes modelos de dispositivo estão em risco:
- Catalyst 9800-CL Wireless Controllers for Cloud
- Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
- Catalyst 9800 Series Wireless Controllers
- Embedded Wireless Controller on Catalyst APs
A análise da Horizon3 mostra que a falha existe devido a um segredo de fallback JWT codificado ("notfound") usado pelos scripts Lua back-end para pontos de upload combinados com validação de caminho insuficiente.
Especificamente, o back-end usa scripts OpenResty (Lua + Nginx) para validar tokens JWT e manipular uploads de arquivos.
No entanto, se o arquivo '/tmp/nginx_jwt_key' estiver ausente, o script recorre à string "notfound" como o segredo para verificar JWTs.
Isso basicamente permite aos atacantes gerar tokens válidos sem conhecer nenhum segredo, simplesmente usando 'HS256' e 'notfound'.
O exemplo da Horizon3 envia uma solicitação HTTP POST com um upload de arquivo para o endpoint '/ap_spec_rec/upload/' via porta 8443 e usa travessia de caminho de arquivo para soltar um arquivo inofensivo (foo.txt) fora do diretório pretendido.
Para escalar a falha de upload de arquivo para execução de código remoto, o atacante poderia substituir arquivos de configuração carregados pelos serviços back-end, soltar web shells ou abusar de arquivos monitorados para desencadear ações não autorizadas.
O exemplo da Horizon3 abusa do serviço 'pvp.sh', que monitora diretórios específicos, sobrescreve os arquivos de configuração dos quais depende e aciona um evento de recarga para executar comandos do atacante.
Dado o risco elevado de exploração, recomenda-se que os usuários façam upgrade para uma versão corrigida (17.12.04 ou mais recente) o mais rápido possível.
Como solução temporária, os administradores podem desligar o recurso Out-of-Band AP Image Download para fechar o serviço vulnerável.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...