جزئیات اکسپلویت آسیبپذیری بحرانی در Cisco IOS XE بهصورت عمومی منتشر شد.
جزئیات فنی آسیبپذیری بارگذاری فایل دلخواه با شدت حداکثری در Cisco IOS XE WLC با شناسه CVE-2025-20188 بهصورت عمومی منتشر شد
جزئیات فنی مربوط به آسیبپذیری با شدت حداکثری در Cisco IOS XE WLC که با شناسه CVE-2025-20188 ردیابی میشود، اکنون بهصورت عمومی در دسترس قرار گرفته است؛ این اقدام، گامی دیگر به سمت توسعه یک اکسپلویت عملیاتی محسوب میشود.
بررسی منتشرشده توسط محققان Horizon3 شامل اسکریپت اکسپلویت PoC آماده اجرا برای اجرای از راه دور کد (RCE) نیست، اما اطلاعات کافی را در اختیار مهاجمان ماهر — یا حتی یک مدل زبانی — قرار میدهد تا بخشهای ناقص را تکمیل کرده و اکسپلویت کامل را بسازند.
با توجه به خطر فوری تسلیح این آسیبپذیری و احتمال سوءاستفاده گسترده در حملات، به کاربران آسیبپذیر توصیه میشود فوراً اقدامات حفاظتی لازم را برای ایمنسازی سامانههای خود انجام دهند.
آسیبپذیری در Cisco IOS XE WLC
شرکت Cisco در تاریخ ۷ می ۲۰۲۵ یک آسیبپذیری بحرانی در نرمافزار IOS XE برای کنترلرهای بیسیم (Wireless LAN Controllers) را افشا کرد که به مهاجم امکان تصاحب کامل دستگاه را میدهد.
Cisco اعلام کرده است که این نقص ناشی از وجود یک JSON Web Token (JWT) از پیشتعریفشده (hard-coded) است که به مهاجمی بدون احراز هویت و از راه دور اجازه میدهد فایل بارگذاری کرده، مسیرها را دور بزند (path traversal) و فرامین دلخواه را با سطح دسترسی root اجرا کند.
در اطلاعیه امنیتی Cisco آمده است که CVE-2025-20188 تنها زمانی خطرناک است که قابلیت “Out-of-Band AP Image Download” روی دستگاه فعال باشد. در این حالت، مدلهای زیر در معرض خطر قرار دارند:
- کنترلر بیسیم Catalyst 9800-CL برای فضای ابری
- کنترلر بیسیم توکار Catalyst 9800 برای سوئیچهای سری ۹۳۰۰، ۹۴۰۰ و ۹۵۰۰
- کنترلرهای بیسیم سری Catalyst 9800
- کنترلر بیسیم توکار روی نقاط دسترسی Catalyst
نمونه حمله Horizon3
تحلیل Horizon3 نشان میدهد که این آسیبپذیری ناشی از استفاده از یک راز JWT fallback از پیشتعریفشده به نام “notfound” در اسکریپتهای Lua بکاند برای نقاط بارگذاری فایل است که همراه با اعتبارسنجی ناکافی مسیر، منجر به آسیبپذیری میشود.
در واقع، بکاند از اسکریپتهای OpenResty (ترکیب Lua و Nginx) برای اعتبارسنجی توکنهای JWT و مدیریت بارگذاری فایلها استفاده میکند. در صورت نبودن فایل /tmp/nginx_jwt_key، اسکریپت به رشته “notfound” بهعنوان راز جایگزین برای اعتبارسنجی توکنها بازمیگردد.
این رفتار باعث میشود مهاجمان بتوانند بدون نیاز به دانستن هیچ رازی، توکنهای معتبر تولید کنند — تنها با استفاده از الگوریتم HS256 و کلید “notfound”.
در نمونه حمله Horizon3، یک درخواست HTTP POST به نقطه /ap_spec_rec/upload/ در پورت ۸۴۴۳ ارسال میشود که فایلی به نام foo.txt را با استفاده از path traversal در خارج از مسیر مجاز ذخیره میکند.
برای تبدیل این نقص به اجرای کد از راه دور (RCE)، مهاجم میتواند فایلهای پیکربندی استفادهشده توسط سرویسهای بکاند را بازنویسی کند، شِلهای وب بارگذاری کند یا از فایلهای پایششده برای انجام اقدامات غیرمجاز سوءاستفاده کند.
در این مثال، مهاجم از سرویس pvp.sh استفاده میکند که دایرکتوریهای خاصی را مانیتور میکند، فایل پیکربندی مربوطه را بازنویسی کرده و با ایجاد reload باعث اجرای دستورات مخرب میشود.
توصیه امنیتی
با توجه به ریسک بالای بهرهبرداری، به کاربران توصیه میشود در اسرع وقت نرمافزار دستگاههای خود را به نسخه وصلهشده (۱۷٫۱۲٫۰۴ یا جدیدتر) ارتقاء دهند.
بهعنوان راهکار موقت، مدیران میتوانند قابلیت “Out-of-Band AP Image Download” را غیرفعال کنند تا سرویس آسیبپذیر غیرفعال شود.