CVE-2025-20188 olarak izlenen maksimum-şiddetli Cisco IOS IOS IOS IOS XE WLC keyfi dosya yükleme kusuru, bizi çalışan bir istismara yaklaştırarak kamuya açık hale getirildi.
Horizon3 araştırmacıları tarafından yazma, konsept RCE istismar komut dosyasının ‘koşmaya hazır’ bir kanıtı içermez, ancak yetenekli bir saldırgan veya hatta bir LLM için eksik parçaları doldurması için yeterli bilgi sağlar.
Saldırılarda derhal silahlanma ve yaygın kullanım riski göz önüne alındığında, etkilenen kullanıcıların uç noktalarını korumak için şimdi harekete geçmeleri önerilir.
Cisco IOS XE WLC kusuru
Cisco, 7 Mayıs 2025’te bir saldırganın cihazları ele geçirmesine izin veren IOS XE yazılımında kablosuz LAN denetleyicileri için kritik kusuru açıkladı.
Satıcı, kimlik doğrulanmamış, uzaktan saldırganın dosya yüklemesine, yol geçişini gerçekleştirmesine ve kök ayrıcalıklarıyla keyfi komutlar yürütmesine izin veren sert kodlanmış bir JSON Web jetonundan (JWT) neden olduğunu söyledi.
Bülten, CVE-2025-20188’in sadece ‘bant dışı AP görüntü indirme’ özelliği cihazda etkinleştirildiğinde tehlikeli olduğunu, bu durumda aşağıdaki cihaz modelleri risk altında olduğunda tehlikeli olduğunu belirtti:
- Bulut için Catalyst 9800-Cl Kablosuz Denetleyiciler
- Catalyst 9300, 9400 ve 9500 Serisi Anahtarlar için Katalizör 9800 Gömülü Kablosuz Kontrolör
- Catalyst 9800 Serisi Kablosuz Denetleyiciler
- Katalizör AP’lerine gömülü kablosuz denetleyici
Horizon3’ün saldırı örneği
Horizon3’ün analizi, arka uç lua komut dosyaları tarafından yetersiz yol doğrulaması ile birlikte yükleme için kullanılan sert kodlanmış JWT geri dönüş sırrı (“notfound”) nedeniyle kusurun var olduğunu göstermektedir.
Özellikle, arka uç JWT jetonlarını doğrulamak ve dosya yüklemelerini işlemek için OpenResty (lua + nginx) komut dosyaları kullanır, ancak ‘/tmp/nginx_jwt_key’ dosyası eksikse, komut dosyası JWT’leri doğrulamak için sırrı olarak “notFound” dizesine geri döner.
Bu temel olarak saldırganların sadece ‘HS256’ ve ‘NOTFOUND’ kullanarak herhangi bir sır bilmeden geçerli jetonlar üretmesine izin verir.
Horizon3’ün örneği, 8443 numaralı bağlantı noktası üzerinden ‘/ap_spec_rec/upload/’ uç noktasına bir dosya yüklemesi ile bir HTTP yayın isteği gönderir ve amaçlanan dizinin dışına zararsız bir dosya (foo.txt) bırakmak için dosya adı yolu geçişi kullanır.
.jpg)
Kaynak: Horizon3
Dosya yükleme kusurunu uzaktan kod yürütmeye yükseltmek için, saldırgan arka uç hizmetleri tarafından yüklenen yapılandırma dosyalarının üzerine yazabilir, web mermilerini düşürebilir veya yetkisiz eylemleri tetiklemek için izlenen dosyaları kötüye kullanabilir.
Horizon3’ün örneği, belirli dizinleri izleyen, bağlı olduğu yapılandırma dosyalarının üzerine yazan ve saldırgan komutlarını çalıştırmak için bile bir yeniden yüklemeyi tetikleyen ‘Pvp.sh’ hizmetini kötüye kullanır.
Yüksek sömürü riski göz önüne alındığında, kullanıcıların mümkün olan en kısa sürede yamalı bir versiyona (17.12.04 veya daha yeni) yükseltmeleri önerilir.
Geçici bir geçici çözüm olarak, yöneticiler savunmasız hizmeti kapatmak için bant dışı AP görüntü indirme özelliğini kapatabilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.