Cisco heeft een kwetsbaarheid met de hoogste score verholpen in IOS XE Software voor Wireless LAN Controllers. Het probleem werd veroorzaakt door een hardcoded JSON Web Token (JWT), waarmee een aanvaller zonder inloggegevens op afstand apparaten volledig kon overnemen.
Dit meldt BleepingComputer. Deze token was bedoeld voor authenticatie bij het gebruik van de functie Out-of-Band AP Image Download. Omdat de token vast in de software gecodeerd was, kon iedereen zich voordoen als een geautoriseerde gebruiker. De kwetsbaarheid staat geregistreerd als CVE-2025-20188 en kreeg de maximale CVSS-score van 10.0, wat inhoudt dat aanvallers apparaten volledig kunnen compromitteren.
Volgens Cisco kon de kwetsbaarheid worden misbruikt door speciaal gemaakte HTTPS-verzoeken te sturen naar de interface voor het downloaden van AP-images. Bij een succesvolle aanval zou een aanvaller bestanden kunnen uploaden, toegang tot andere paden op het systeem verkrijgen en willekeurige commando’s uitvoeren met rootrechten.
De kwetsbaarheid is alleen uit te buiten als de functie Out-of-Band AP Image Download is ingeschakeld. Deze functie is standaard uitgeschakeld. Ze stelt toegangspunten in staat om besturingssysteemimages via HTTPS te downloaden in plaats van via het gebruikelijke CAPWAP-protocol, wat in sommige omgevingen efficiënter is, bijvoorbeeld bij grootschalige of geautomatiseerde implementaties.
De kwetsbare apparaten zijn onder andere de Catalyst 9800-CL Wireless Controllers voor cloudomgevingen, de Catalyst 9800 Embedded Wireless Controllers voor de Catalyst 9300-, 9400- en 9500-series, andere modellen van de Catalyst 9800-serie en de ingebouwde draadloze controller op bepaalde Catalyst Access Points. Apparaten die niet getroffen zijn, zijn onder meer Cisco IOS (niet-XE), Cisco IOS XR, Cisco Meraki-producten, Cisco NX-OS en Cisco AireOS-gebaseerde controllers.
Updates met spoed installeren
Cisco heeft beveiligingsupdates uitgebracht. Men raadt beheerders aan deze zo snel mogelijk te installeren. Zij kunnen Cisco Software Checker gebruiken om te achterhalen welke specifieke softwareversie de kwetsbaarheid op een bepaald apparaat oplost.
Hoewel er geen tijdelijke oplossingen of mitigaties zijn voor CVE-2025-20188, biedt het uitschakelen van de betreffende downloadfunctie een effectieve bescherming. Cisco geeft aan dat er op dit moment geen meldingen zijn van actieve aanvallen. Het bedrijf meent dat het vanwege de ernst van het probleem aannemelijk is dat aanvallers snel op zoek zullen gaan naar kwetsbare systemen.