Компания Cisco выпустила исправление для критической уязвимости с максимальным показателем опасности 10.0 по шкале CVSS, обнаруженной в беспроводных контроллерах Cisco IOS XE. Брешь в безопасности, зарегистрированная как CVE-2025-20188, позволяет злоумышленникам без аутентификации получить полный контроль над уязвимыми устройствами.
Уязвимость связана с жестко закодированным токеном JSON Web Token (JWT) и была обнаружена X.B. из группы Cisco Advanced Security Initiatives Group (ASIG) в ходе внутреннего тестирования безопасности. Данная проблема представляет серьезную угрозу для корпоративных сетей, использующих затронутые устройства.
Эксплуатация уязвимости осуществляется путем отправки специально сформированных HTTPS-запросов к интерфейсу загрузки образов точки доступа (AP). Атакующий может загружать произвольные файлы в систему, осуществлять обход директорий и выполнять произвольные команды с привилегиями root, что фактически дает полный контроль над устройством.
Важно отметить, что для успешной эксплуатации уязвимости необходимо, чтобы функция Out-of-Band AP Image Download была активирована на устройстве. По умолчанию эта функция отключена, что существенно снижает риск автоматической компрометации для большинства пользователей Cisco IOS XE Wireless Controller.
Когда функция Out-of-Band AP Image Download отключена, загрузка образов точек доступа происходит через метод CAPWAP (Control And Provisioning of Wireless Access Points), который не подвержен данной уязвимости. Это обстоятельство служит естественным барьером для массовой эксплуатации.
Cisco опубликовала соответствующее предупреждение в среду, выпустив программные исправления для устранения уязвимости. Компания настоятельно рекомендует администраторам сетей оперативно применить эти патчи, особенно если функция Out-of-Band AP Image Download активирована в их инфраструктуре.
На момент публикации предупреждения не было зафиксировано случаев злонамеренной эксплуатации CVE-2025-20188 в реальных условиях. Однако, учитывая критический характер уязвимости и полное раскрытие информации о ней, существует высокая вероятность появления эксплойтов в ближайшем будущем.
Специалисты по безопасности рекомендуют не только установить патчи, но и проверить, активирована ли функция Out-of-Band AP Image Download в сетевой инфраструктуре. В случае отсутствия необходимости в данной функции, её следует деактивировать как дополнительную меру защиты.
Изображение носит иллюстративный характер
Уязвимость связана с жестко закодированным токеном JSON Web Token (JWT) и была обнаружена X.B. из группы Cisco Advanced Security Initiatives Group (ASIG) в ходе внутреннего тестирования безопасности. Данная проблема представляет серьезную угрозу для корпоративных сетей, использующих затронутые устройства.
Эксплуатация уязвимости осуществляется путем отправки специально сформированных HTTPS-запросов к интерфейсу загрузки образов точки доступа (AP). Атакующий может загружать произвольные файлы в систему, осуществлять обход директорий и выполнять произвольные команды с привилегиями root, что фактически дает полный контроль над устройством.
Важно отметить, что для успешной эксплуатации уязвимости необходимо, чтобы функция Out-of-Band AP Image Download была активирована на устройстве. По умолчанию эта функция отключена, что существенно снижает риск автоматической компрометации для большинства пользователей Cisco IOS XE Wireless Controller.
Когда функция Out-of-Band AP Image Download отключена, загрузка образов точек доступа происходит через метод CAPWAP (Control And Provisioning of Wireless Access Points), который не подвержен данной уязвимости. Это обстоятельство служит естественным барьером для массовой эксплуатации.
Cisco опубликовала соответствующее предупреждение в среду, выпустив программные исправления для устранения уязвимости. Компания настоятельно рекомендует администраторам сетей оперативно применить эти патчи, особенно если функция Out-of-Band AP Image Download активирована в их инфраструктуре.
На момент публикации предупреждения не было зафиксировано случаев злонамеренной эксплуатации CVE-2025-20188 в реальных условиях. Однако, учитывая критический характер уязвимости и полное раскрытие информации о ней, существует высокая вероятность появления эксплойтов в ближайшем будущем.
Специалисты по безопасности рекомендуют не только установить патчи, но и проверить, активирована ли функция Out-of-Band AP Image Download в сетевой инфраструктуре. В случае отсутствия необходимости в данной функции, её следует деактивировать как дополнительную меру защиты.
