Уязвимость Cisco IOS XE: детали и риски

Технические детали уязвимости в Cisco IOS XE WLC для загрузки файлов, обозначенной как CVE-2025-20188, стали общедоступными. Это приближает появление рабочего эксплойта, но и его предотвращение.

Исследователи Horizon3 опубликовали анализ, не включающий готовый скрипт для эксплуатации уязвимости. Однако предоставленной информации достаточно, чтобы опытный злоумышленник или даже языковая модель могли восполнить недостающие детали. Учитывая высокий риск эксплуатации, Cisco рекомендует пользователям принять меры для защиты своих систем.

Cisco сообщила о критической уязвимости в программном обеспечении IOS XE для Wireless LAN Controllers 7 мая 2025 года. Проблема позволяет злоумышленнику получить полный контроль над устройствами.

Уязвимость возникает из-за жестко заданного JSON Web Token (JWT). Это позволяет неаутентифицированному удаленному злоумышленнику загружать файлы, манипулировать путями и выполнять произвольные команды с правами root.

Согласно заявлению производителя, CVE-2025-20188 опасна только при включенной функции «Out-of-Band AP Image Download». В зоне риска находятся следующие модели:

• Catalyst 9800-CL Wireless Controllers for Cloud
• Catalyst 9800 Embedded Wireless Controller для коммутаторов Catalyst 9300, 9400 и 9500 серий
• Catalyst 9800 Series Wireless Controllers
• Embedded Wireless Controller на точках доступа Catalyst

Анализ атаки от Horizon3

Исследование Horizon3 показало, что уязвимость существует из-за жестко заданного секретного ключа JWT («notfound»). Он используется в backend-скриптах Lua на конечных точках загрузки в сочетании с недостаточной проверкой путей.

Backend использует скрипты OpenResty (Lua + Nginx) для проверки JWT-токенов и обработки загрузки файлов. Если файл «/tmp/nginx_jwt_key» отсутствует, скрипт использует «notfound» в качестве секретного ключа для проверки JWT.

Это позволяет злоумышленникам генерировать действительные токены без знания секретной информации, просто используя «HS256» и «notfound».

Пример Horizon3 отправляет HTTP POST-запрос с загрузкой файла на конечную точку «/ap_spec_rec/upload/» через порт 8443. В имени файла используется манипуляция с путями, чтобы разместить файл за пределами предназначенного каталога.

Для эскалации уязвимости загрузки файлов до удаленного выполнения кода злоумышленник может перезаписать конфигурационные файлы, используемые backend-сервисами, разместить веб-шеллы или злоупотребить отслеживаемыми файлами для выполнения несанкционированных действий.

Пример Horizon3 эксплуатирует сервис «pvp.sh», который отслеживает определенные каталоги, перезаписывает конфигурационные файлы и запускает перезагрузку для выполнения команд злоумышленника.

Рекомендации

Учитывая повышенный риск эксплуатации, пользователям рекомендуется как можно скорее обновиться до исправленной версии (17.12.04 или новее).

В качестве временного решения администраторы могут отключить функцию Out-of-Band AP Image Download, чтобы деактивировать уязвимый сервис.