Los detalles técnicos sobre una gravedad máxima Cisco IOS XE WLC Descarga de archivos arbitrarios se siguieron como CVE-201025-20188 CVE-20125-20188 se hicieron públicos, lo que nos acercó a una hazaña de trabajo.
La redacción de los investigadores de Horizon3 no contiene un script para la prueba de prueba de concepto rce “ préstamo para usar ”, pero proporciona suficiente información a un atacante calificado o incluso a un LLM para llenar las partes faltantes.
Dado el riesgo inmediato de armamentos y uso generalizado en los ataques, se recomienda que los usuarios impactados tomen medidas ahora para proteger sus parámetros.
La falla de Cisco iOS XE WLC
Cisco reveló la falla crítica en el software iOS XE para controladores de LAN inalámbricos el 7 de mayo de 2025, lo que permite a un atacante hacerse cargo de los dispositivos.
El proveedor dijo que fue causado por un token JSON (JWT) que permite que un delantero remoto no autenticado descargue archivos, haga un cruce de ruta y ejecute pedidos arbitrarios con privilegios raíz.
El boletín señaló que CVE-201025-20188 solo es peligroso cuando la funcionalidad de descarga de imágenes fuera de banda se activa en el dispositivo, en cuyo caso los siguientes dispositivos están en peligro:
- Catalyst Catalyst 9800 Cl Wireless Controllers para nubes
- Controlador inalámbrico Catalyst 9800 para los interruptores de la serie Catalyst 9300, 9400 y 9500
- Contratistas inalámbricos de la serie Catalyst 9800 Series
- Controlador inalámbrico integrado en APS Catalyst
Ejemplo de ataque de Horizon3
Horizonte3 análisis muestra que el defecto existe debido a un secreto de rescate de JWT codificado en Hard (“Notfound”) utilizado por Lua Backend Scripts para descargar puntos de evaluación combinados con una validación de ruta insuficiente.
Más específicamente, el backend utiliza scripts OpenResty (lua + nginx) para validar los tokens JWT y administrar descargas de archivos, pero si falta el archivo ‘ / tmp / nginx_jwt_key’, el script vuelve al canal “pasfound” como el secreto para verificar el JWT.
Esto esencialmente permite a los atacantes generar tokens válidos sin conocer secretos simplemente usando “HS256” y “Not Found”.
El ejemplo de Horizon3 envía una solicitud posterior a HTTP con una descarga de archivo en el punto de terminación ‘ / AP_SPEC_REC /’ a través del puerto 8443 y utiliza el cruce de ruta de archivo para eliminar un archivo inofensivo (foo.txt) fuera del directorio proporcionado.
.jpg)
Fuente: Horizon3
Para degenerar la falla de descarga del archivo a la ejecución del código remoto, el atacante puede aplastar los archivos de configuración cargados por servicios de backend, enviar conchas web o abusar de archivos monitoreados para activar acciones no autorizadas.
El ejemplo de un Horizon3 abusa del servicio ‘pvp.sh’ que monitorea directorios específicos, aplasta los archivos de configuración en los que depende y desencadena la recarga incluso para ejecutar a los atacantes.
Dado el alto riesgo de operar, se recomienda a los usuarios que vayan a una versión corregida (17.12.04 o más reciente) lo antes posible.
Como una solución de derivación temporal, los administradores pueden desactivar la función de descarga de imágenes de salida de banda para cerrar el servicio vulnerable.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.