Исследователи Horizon3 выкатили технические подробности для максимально серьезной уязвимости произвольной загрузки файлов Cisco IOS XE WLC, отслеживаемой как CVE-2025-20188.

Несмотря на то, что в отчете исследователей не содержится готового к запуску сценария RCE-эксплойта, однако предоставленной информации вполне достаточно для его разработки опытным злоумышленником.

7 мая 2025 года Cisco раскрыла критическую уязвимость в IOS XE для контроллеров беспроводных локальных сетей, которая позволяет злоумышленнику получить контроль над устройствами.

Поставщик заявил, что проблема вызвана жестко запрограммированным JSON Web Token (JWT), который позволяет неаутентифицированному удаленному злоумышленнику загружать файлы, выполнять обход пути и выполнять произвольные команды с привилегиями root.

В бюллетене отмечается, что уязвимость CVE-2025-20188 опасна только в том случае, если на устройстве включена функция «Загрузка образа точки доступа по внешнему каналу».

Она затрагивает Catalyst 9800-CL Wireless Controllers for Cloud, Catalyst 9800 Embedded Wireless Controller для коммутаторов серий 9300, 9400, and 9500 Series Switches, Catalyst 9800 Series Wireless Controllers и Embedded Wireless Controller на Catalyst APs.

Как отмечают в Horizon3, уязвимость существует из-за жестко запрограммированного резервного секретного ключа JWT («notfound»), используемого внутренними скриптами Lua для конечных точек загрузки, в сочетании с недостаточной проверкой пути.

В частности, бэкэнд использует скрипты OpenResty (Lua + Nginx) для проверки токенов JWT и обработки загрузок файлов, но если файл '/tmp/nginx_jwt_key' отсутствует, скрипт возвращается к строке "notfound" в качестве секрета для проверки JWT.

По сути, это позволяет злоумышленникам генерировать действительные токены, не зная никаких секретов, просто используя «HS256» и «notfound».

Horizon3 представили пример с отправкой HTTP-запроса POST с загрузкой файла на конечную точку «/ap_spec_rec/upload/» через порт 8443 и использованием обхода пути имени файла, чтобы поместить безобидный файл (foo.txt) за пределы предполагаемого каталога.

Для расширения уязвимости загрузки файлов до уровня RCE, злоумышленник может перезаписать файлы конфигурации, загруженные внутренними службами, сбросить веб-оболочки или использовать отслеживаемые файлы для запуска несанкционированных действий.

В случае с Horizon3, реализовано злоупотребление службой «pvp.sh», которая отслеживает определенные каталоги, перезаписывает файлы конфигурации, от которых она зависит, и запускает перезагрузку даже для запуска команд злоумышленника.

Учитывая повышенный риск эксплуатации уязвимости, пользователям рекомендуется как можно скорее обновиться до исправленной версии (17.12.04 или более новой).

В качестве временного решения администраторы могут отключить функцию загрузки образа точки доступа по внешнему каналу, чтобы закрыть уязвимую службу.