Des détails techniques concernant une faille de gravité maximale permettant le téléchargement de fichiers arbitraires affectant les logiciels Cisco IOS XE pour contrôleurs de réseau local sans fil (WLC), identifiée sous le nom de CVE-2025-20188, ont été rendus publics, augmentant considérablement le risque d’exploitation. Cette vulnérabilité critique permet à des attaquants distants non authentifiés de téléverser des fichiers et d’exécuter des commandes arbitraires avec des privilèges root si la fonctionnalité ‘Out-of-Band AP Image Download’ est activée. L’analyse détaillée des chercheurs en sécurité fournit des éclaircissements sur le fonctionnement de la faille et sur la manière dont elle pourrait être utilisée pour l’exécution de code à distance.
Contenu
Comprendre la vulnérabilité Cisco
Que s’est-il passé ?
Cisco a initialement divulgué cette vulnérabilité le 7 mai 2025. La faille, identifiée comme CVE-2025-20188, réside dans le logiciel IOS XE spécifiquement conçu pour les contrôleurs de réseau local sans fil (WLC). Elle découle d’un secret JSON Web Token (JWT) codé en dur combiné à des vérifications de validation insuffisantes. Cela permet à un attaquant qui n’a pas besoin de s’authentifier au système de téléverser des fichiers vers des emplacements non prévus en utilisant des techniques de parcours de chemin (path traversal).
Gravité et impact
Évaluée comme étant de gravité maximale, cette vulnérabilité présente un risque significatif. Une exploitation réussie accorde à l’attaquant la capacité d’exécuter des commandes arbitraires avec des privilèges root sur l’appareil affecté, lui permettant essentiellement de prendre le contrôle complet. La vulnérabilité n’est exploitable que lorsque la fonctionnalité ‘Out-of-Band AP Image Download’ est active sur l’appareil.
Les modèles de contrôleurs de réseau local sans fil Cisco affectés comprennent :
- Contrôleurs sans fil Catalyst 9800-CL pour le Cloud
- Contrôleur sans fil intégré Catalyst 9800 pour les commutateurs des séries Catalyst 9300, 9400 et 9500
- Contrôleurs sans fil de la série Catalyst 9800
- Contrôleur sans fil intégré sur les points d’accès Catalyst (Catalyst APs)
Analyse technique et risque d’exploitation
Constatations des chercheurs
Les chercheurs en sécurité de chez Horizon3 ont publié une analyse approfondie détaillant les aspects techniques de la CVE-2025-20188. Leur analyse a révélé que la vulnérabilité prend racine dans un secret de repli JWT codé en dur, la chaîne de caractères « notfound », utilisée par les scripts Lua backend sur les points d’entrée de téléversement. Ces scripts, utilisant OpenResty (Lua + Nginx), gèrent la validation JWT et les téléversements de fichiers. Si un fichier spécifique (/tmp/nginx_jwt_key) est manquant, le script utilise par défaut « notfound » comme secret pour vérifier les JWTs.
Ce mécanisme de repli permet aux attaquants de générer des JWTs valides pour contourner l’authentification en utilisant simplement l’algorithme ‘HS256’ et le secret ‘notfound’, sans avoir besoin de connaître de secrets légitimes.
Comment fonctionne l’exploitation
L’analyse de Horizon3 a démontré un scénario d’attaque où un attaquant envoie une requête HTTP POST contenant un fichier à téléverser vers le point d’entrée vulnérable /ap_spec_rec/upload/, généralement sur le port 8443. En utilisant le parcours de chemin (path traversal) dans le paramètre du nom de fichier, un attaquant peut téléverser des fichiers en dehors du répertoire prévu, comme déposer un simple fichier texte (foo.txt).
Logo Cisco représentant l'entreprise affectée par la vulnérabilité de sécurité IOS XE WLC
L’escalade de cette vulnérabilité de téléversement de fichiers arbitraires vers l’exécution de code à distance implique de trouver des moyens de faire exécuter le contenu téléversé par l’appareil. Les méthodes potentielles incluent l’écrasement de fichiers de configuration chargés par des services système, l’implantation de web shells dans des répertoires accessibles, ou la manipulation de fichiers surveillés par des services pour déclencher des actions non autorisées. Horizon3 l’a illustré en montrant comment un attaquant pourrait abuser du service pvp.sh, qui surveille des répertoires spécifiques et recharge les fichiers de configuration, pour déclencher l’exécution de commandes contrôlées par l’attaquant après avoir écrasé ses dépendances.
Diagramme illustrant une requête HTTP utilisant la clé secrète 'notfound' pour exploiter la vulnérabilité de téléchargement de fichiers Cisco IOS XE WLC
Pourquoi c’est important maintenant
La disponibilité publique des détails techniques augmente significativement la probabilité que des acteurs malveillants développent et utilisent des exploits fonctionnels pour la CVE-2025-20188. Il est donc essentiel que les organisations affectées prennent des mesures immédiates pour sécuriser leurs appareils vulnérables.
Recommandations et atténuation
Compte tenu de la gravité et du risque accru d’exploitation, Cisco recommande fortement d’appliquer les mises à jour de sécurité.
Appliquer les correctifs
La principale recommandation est de mettre à niveau le logiciel Cisco IOS XE pour contrôleurs de réseau local sans fil vers une version corrigée. Cisco conseille aux utilisateurs de passer à la version 17.12.04 ou à une version plus récente qui corrige cette vulnérabilité.
Solution temporaire
Si une application immédiate des correctifs n’est pas possible, les administrateurs peuvent atténuer le risque en désactivant la fonctionnalité ‘Out-of-Band AP Image Download’. Cette action ferme le service spécifique qui est vulnérable à l’exploitation par les attaquants.
Les utilisateurs doivent prioriser l’évaluation de leurs environnements pour identifier les appareils affectés et mettre en œuvre les correctifs ou la solution de contournement recommandés dès que possible pour se protéger contre les attaques potentielles.
Restez informé des dernières menaces et vulnérabilités en matière de cybersécurité affectant les infrastructures réseau. Vous pouvez explorer des articles connexes sur des sujets tels que les exploits ciblant les logiciels de forum vBulletin ou les bogues critiques non corrigés dans Versa Concerto menant à une exécution de code à distance (RCE) pour comprendre le paysage des menaces plus large.