Falha crítica CVE-2025-20188 no Cisco IOS XE WLC permite upload arbitrário de arquivos e ataque RCE

Uma falha de segurança de gravidade máxima no software Cisco IOS XE para Controladores de LAN Sem Fio (WLC), identificada como CVE-2025-20188, teve seus detalhes técnicos divulgados publicamente, aumentando o risco de exploração por hackers. A vulnerabilidade, que permite o upload arbitrário de arquivos, pode ser usada por invasores remotos para assumir o controle total de dispositivos afetados, executando comandos com privilégios de administrador (root). A divulgação, feita por pesquisadores da Horizon3, não inclui um exploit pronto para uso, mas fornece informações detalhadas suficientes para que hackers experientes ou até mesmo modelos de inteligência artificial avançados, como grandes modelos de linguagem (LLMs), possam desenvolver um ataque funcional.

A vulnerabilidade foi anunciada pela Cisco em 7 de maio de 2025 e está relacionada a uma falha no recurso de "Download de Imagem AP Fora de Banda" (Out-of-Band AP Image Download), presente em modelos específicos de controladores sem fio. Esse recurso, quando ativado, torna vulneráveis dispositivos como os Catalyst 9800-CL Wireless Controllers for Cloud, Catalyst 9800 Embedded Wireless Controller para switches da série Catalyst 9300, 9400 e 9500, além de outros controladores da linha Catalyst 9800 e controladores embarcados em pontos de acesso Catalyst. A falha decorre de um token JSON Web (JWT) codificado de forma fixa, utilizando a chave secreta "notfound", combinada com uma validação insuficiente de caminhos no sistema, permitindo que hackers manipulem o processo de upload de arquivos.

Os pesquisadores da Horizon3 detalharam que o problema está nos scripts Lua do backend, que utilizam o framework OpenResty (Lua + Nginx) para gerenciar uploads e validar tokens JWT. Quando o arquivo "/tmp/nginx_jwt_key" está ausente, o sistema recorre à chave padrão "notfound" para verificar os tokens, permitindo que invasores gerem tokens válidos sem conhecimento prévio de segredos. Usando o algoritmo HS256 e a chave "notfound", um hacker pode enviar uma requisição HTTP POST para o endpoint "/ap_spec_rec/upload/" pela porta 8443, explorando uma falha de travessia de diretórios (path traversal) para inserir arquivos em locais não autorizados.

A exploração pode ser escalada para execução remota de código (RCE) ao sobrescrever arquivos de configuração críticos, implantar web shells ou manipular arquivos monitorados para acionar ações não autorizadas. Um exemplo prático da Horizon3 demonstrou como um invasor pode abusar do serviço "pvp.sh", que monitora diretórios específicos, para sobrescrever configurações e executar comandos maliciosos ao forçar uma recarga do sistema. Esse cenário eleva o risco de ataques em larga escala, especialmente em redes corporativas que utilizam os dispositivos afetados.

Diante da gravidade da falha e do potencial de exploração iminente, a Cisco recomenda que os usuários atualizem seus sistemas para a versão 17.12.04 ou superior, que corrige a vulnerabilidade. Como medida temporária, administradores podem desativar o recurso de Download de Imagem AP Fora de Banda, fechando o serviço vulnerável e reduzindo o risco de ataques. Especialistas em segurança cibernética alertam que a divulgação pública dos detalhes técnicos aumenta a urgência de ação, já que hackers podem rapidamente desenvolver exploits para comprometer dispositivos não corrigidos. A recomendação é que as equipes de TI priorizem a aplicação de patches e monitorem ativamente seus sistemas para detectar atividades suspeitas.

Via - BC