Cisco produktuetako ahuntasun kritiko eta larri anitz

Argitalpen-data: 

Laburpen exekutiboa

Cisco IOS XE Software-ko LAN inalambriko kontrolagailuen (WLCs) banda ez-zeinaren irudiaren jaitsiera funtzioan kalteberatasun kritiko bat (10.0 CVSS puntuazioa) atzeman da. Kalteberatasun honek eragile urrun eta ez-identifikatu bati sistema eraginduan fitxategi arbitrarioak igotzea ahalbidetzen dio, token JWT kodifikatu baten presentziari esker. Erasotzaileak kalteberatasuna HTTPS eskakizun aldatuak bidaliz aprobetxatu ahal luke, honek bide bat zeharkatzea eta root pribilegioekin komando arbitrarioak exekutatzea ahalbidetuko lioke, segurtasun arrisku handia suposatuz. Arriskua murrizteko, garrantzitsua da banda ez-zeinaren irudiaren jaitsiera funtzioa desaktibatzea, gailuaren funtzionamendurako ezinbestekoa ez bada, ez baitago lehenetsita gaituta.

Kalteberatasun kritiko nagusiaz gain, larritasun handiko hainbat kalteberatasun hauteman dira IOS XE duten Cisco gailuetan. Horien artean daude: CVE-2025-20140, zeinak DoS erasoa eragin dezakeen IPv6 trafiko maltzur baten bidez; CVE-2025-20186, web interfazean baimendu gabeko komandoak sartzeko kalteberatasuna, sarbide mugatua duten erabiltzaile autentifikatuentzat eskuragarria; CVE-2025-20154, TWAMP protokoloarekin lotuta, eta sistemaren berrabiarazteak eragin ditzakeena; CVE-2025-20191, DHCPv6 paketeen kudeaketa ahuleziarekin zerikusia duena, segurtasun-funtzio integratuetan, eta inguruko erasotzaileek baliatu dezaketen kalteberatasuna; eta CVE-2025-20122, Cisco SD-WAN Manager-en pribilegio-eskalatzea ahalbidetzen duena, erasotzaile autentifikatu batek root sarbidea lor dezan. Kalteberatasun horiek guztiek arrisku nabarmena dakarte, dagokien segurtasun-eguneraketak ezartzen ez badira.

Eragindako baliabideak

  • Cisco IOS XE Wireless Controller Software (kalteberatasuna duten bertsio espezifikoak zehaztu gabe)
  • Catalyst 9800-CL Wireless Controllers for Cloud (Cisco IOS XE Software kalteberatusa erabiltzen bada WLCetan eta AP irudien kanpo-bandako deskarga gaituta badago soilik)
  • Catalyst 9800 Embedded Wireless Controller Catalyst 9300, 9400 eta 9500 Series Switch-entzat (Cisco IOS XE Software kalteberatusa erabiltzen bada WLCetan eta AP irudien kanpo-bandako deskarga gaituta badago soilik)
  • Catalyst 9800 Series Wireless Controllers (Cisco IOS XE Software kalteberatusa erabiltzen bada WLCetan eta AP irudien kanpo-bandako deskarga gaituta badago soilik)
  • Embedded Wireless Controller on Catalyst APs (Cisco IOS XE Software kalteberatusa erabiltzen bada WLCetan eta AP irudien kanpo-bandako deskarga gaituta badago soilik)
  • Integrated Access Points ISR 1100 (Wi-Fi 6) gailuetan
  • Wi-Fi 6 pluggable module for Catalyst IR1800 Rugged Series Routers
  • Cisco Catalyst SD-WAN Manager (vManage)
  • 1000, 4000, 8200, 8300, 8500 eta 8500L Series Edge Platforms (IKEv1 VPN gaituta dutenak)
  • TWAMP zerbitzaria gaituta duten Cisco gailuak
  • IPv6 haririk gabeko bezeroak gaituta dituzten gailuak (wncd funtzioak eraginda)
  • Segurtasun-funtzio integratuak (SISF) gaituta dituzten gailuak (IOS, IOS XE, NX-OS eta AireOS sistemetan)
  • Web interfazea eta "lobby ambassador" kontua gaituta duten gailuak

Azterketa teknikoa

  • CVE-2025-20188: Cisco IOS XE Software-ko LAN inalambriko kontrolagailuen (WLCs) banda ez-zeinaren irudiaren jaitsiera funtzioan kalteberatasun bat dago, eta honek eragile urrun eta ez-identifikatu bati sistema eraginduan fitxategi arbitrarioak igotzea ahalbidetzen dio. Kalteberatasun hau sistema eraginduan JSON Web Token (JWT) kodifikatu bat dagoelako sortzen da. Erasotzaileak kalteberatasuna aprobetxatu ahal luke AP-aren irudiaren jaitsiera interfazera HTTPS eskakizun manipulatuak bidaliz. Aprobetxatze arrakastatsua fitxategiak igotzea, bide bat zeharkatzea eta root pribilegioekin komando arbitrarioak exekutatzea ahalbidetuko luke. Oharra: Aprobetxatzea arrakastatsua izateko, banda ez-zeinaren irudiaren jaitsiera funtzioa gailuan gaituta egon behar da. Ez dago lehenetsita gaituta.
    • CWE-798
    • CVSS: 10.0 (kritikoa)
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Aprobetxatzea: Ez da atzeman

Arintzea/Konponbidea

Cisco-k abisua eman du LAN Inalambriko Kontrolagailuen (WLCs) Cisco IOS XE software-ko kalteberatasun kritiko bati buruz, honek eragile urrun eta ez-identifikatu bati sistema eraginduan fitxategi arbitrarioak igotzea ahalbidetzen dio. Arazo hau konpontzeko, Cisco-k software eguneraketak argitaratu ditu, kalteberatasun hau konpontzen dutenak. Eguneraketa ezinezkoa bada, arintzeko aukera bat Banda Ez-zeinaren Irudiaren Jaitsiera ezaugarria desaktibatzea da. Ezaugarri hau desaktibatuz gero, AP-aren irudiaren jaitsiera CAPWAP metodoa erabiliko du AP-aren irudiaren eguneraketa funtziorako, eta honek ez du AP-aren bezeroaren egoeran eragiten. Cisco-k gomendatzen du arintze hau ezarri ahal izan den arte software-ko bertsio finko batera eguneratzea.

Cisco-k 2025eko maiatzean argitaratutako kalteberatasun larri gehienetan, ez dago konponbide alternatiborik emandako segurtasun-eguneraketak aplikatzea ez bada. Hala ere, kalteturiko funtzionaltasuna ezinbestekoa ez den kasuetan, neurri zehatz batzuk hartzea gomendatzen da:

  • IPv6 haririk gabeko bezeroentzako euskarria desgaitzea beharrezkoa ez bada (no wireless ipv6 client).
  • TWAMP zerbitzaria desgaitzea, erabiltzen ez den gailuetan.
  • "Lobby ambassador" rola duten kontuak ezabatzea, beharrezkoak ez direnean.
  • IKEv1 funtzionalitatea desgaitzea, ez den plataformetan (ISR edo Catalyst Edge Platforms) erabiltzen bada.
  • SISF (Switch Integrated Security Features) gaituta duten gailuetan, device-tracking edo ipv6 snooping bezalako funtzioak desgaitu daitezkeen aztertzea, erabilera aktiborik ez badute.

Cisco-k bezero guztiei Cisco Software Checker tresna erabiltzea gomendatzen die, kalteberatasunak dituzten bertsioak identifikatzeko eta gailu bakoitzerako egokitutako bertsio konpondua eskuratzeko.

Erreferentzia gehigarriak

Partekatu