Vulnerabilidad Crítica en Cisco IS XE Wireless Controller
Una nueva vulnerabilidad ha sido hecha pública por parte del equipo de Cisco. Dicha vulnerabilidad ha sido identificada como CVE-2025-20188 y se ha clasificado con un score CVSS de 10.0 (la más alta), por lo que se le adjudicó la criticidad "crítica".
Esta vulnerabilidad consiste en una falla en la función de descarga de imágenes del software Cisco IOS XE para los controladores Wireless LAN Controllers (WLCs). Esta falla permite que un atacante, sin necesidad de autenticarse, pueda subir archivos al sistema afectado.
La CVE es posible debido a la presencia de un JSON Web Token (JWT) codificado de manera rígida; es decir, el token está explícitamente escrito en el código. Como se mencionó anteriormente, un atacante puede explotar esta vulnerabilidad sin autenticarse, lo que le permite subir archivos al sistema afectado. Para llevar a cabo la explotación, el atacante debe enviar peticiones HTTPS especialmente diseñadas, dirigidas a la interfaz de descarga de imágenes del AP.
Aunque esta vulnerabilidad es de carácter crítico, para que pueda ser explotada y esté presente en el sistema, la función Out-of-Band AP Image Download debe estar activada. Sin embargo, esta función está desactivada por defecto.
Para determinar si está activada, se puede utilizar el siguiente comando:
- wlc# show running-config | include ap upgrade
- ap upgrade method https
- wlc#
Con el comando anterior se indica que se quiere conocer la configuración actual del AP. En caso de que la respuesta sea “ap upgrade method https”, significa que el sistema está expuesto a la vulnerabilidad discutida.
No existen soluciones alternativas (workarounds) por el momento para mitigar la vulnerabilidad, fuera de desactivar la función “Out-of-Band AP Image Download”. No obstante, ya se liberaron actualizaciones para los productos afectados. Actualmente, no se tienen indicios de que esta vulnerabilidad esté siendo explotada activamente, por lo que se recomienda actualizar lo antes posible para mitigar esta CVE.
Versiones Afectadas
- Catalyst 9800-CL Wireless Controllers for Cloud
- Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
- Catalyst 9800 Series Wireless Controllers
- Embedded Wireless Controller on Catalyst APs
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-file-uplpd-rHZG9UfC
Recomendaciones
- Verificar si su producto es vulnerable en la versión en la que se encuentra mediante la herramienta de Cisco en el aviso de seguridad.
- Desactivar la función Out-of-Band AP Image Download en caso de no utilizarse
Recomendaciones Adicionales
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multi-factor.
Referencias
- CISCO. (2025. Mayo 07) Cisco IOS XE Wireless Controller Software Arbitrary File Upload Vulnerability. Recuperado el 08 de mayo de 2025 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-file-uplpd-rHZG9UfC
- Lakshmanan, R. (2025. Mayo 08) Cisco Patches CVE-2025-20188 (10.0 CVSS) in IOS XE That Enables Root Exploits via JWT. Recuperado el 08 de mayo de 2025 en: https://thehackernews.com/2025/05/cisco-patches-cve-2025-20188-100-cvss.html
- NIST. (2025. Mayo 08) CVE-2025-20188 Detail. Recuperado el 08 de mayo de 2025 en: https://nvd.nist.gov/vuln/detail/CVE-2025-20188
