Cisco ha corregido una falla de máxima gravedad en el software IOS XE para
controladores de LAN inalámbrica, causada por un token web JSON (JWT)
codificado de forma rígida que permite a un atacante remoto no autenticado
tomar el control de los dispositivos.
Este token está diseñado para autenticar las solicitudes a una función llamada
«Out-of-Band AP Image Download». Al estar codificado de forma
rígida, cualquiera puede suplantar la identidad de un usuario autorizado sin
credenciales.
Según el boletín del proveedor, la vulnerabilidad se identifica como CVE-2025-20188 y tiene una puntuación CVSS máxima de 10.0, lo que permite a los actores de amenazas comprometer completamente los dispositivos. «Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTPS
manipuladas a la interfaz de descarga de imágenes de AP. Una explotación exitosa podría permitir al atacante cargar archivos,
atravesar rutas y ejecutar comandos arbitrarios con privilegios de root».
Se observa que CVE-2025-20188 solo es explotable cuando la función «Descarga
de imágenes de AP fuera de banda» está habilitada en el dispositivo, lo cual
no está habilitado por defecto. Esta función permite a los puntos de
acceso (AP) descargar imágenes del sistema operativo mediante HTTPS en lugar
del protocolo CAPWAP, lo que ofrece una forma más flexible y directa de
instalar firmware en los AP.
Aunque está deshabilitada por defecto, algunas implementaciones empresariales
a gran escala o automatizadas pueden habilitarla para aprovisionar o recuperar
los AP más rápidamente.
Los siguientes dispositivos son vulnerables a ataques si se cumplen los
requisitos de explotación:
- Controlador inalámbrico Catalyst 9800-CL para la nube
-
Controlador inalámbrico integrado Catalyst 9800 para switches de las series
Catalyst 9300, 9400 y 9500 - Controladores inalámbricos de la serie Catalyst 9800
- Controlador inalámbrico integrado en puntos de acceso Catalyst
Por otro lado, los productos que se ha confirmado que no se ven afectados por
el problema de JWT codificado son: Cisco IOS (no XE), Cisco IOS XR, productos
Cisco Meraki, Cisco NX-OS y WLC basados en Cisco AireOS.
Cisco ha publicado actualizaciones de seguridad para abordar esta
vulnerabilidad crítica, por lo que se recomienda a los administradores de
sistemas que las apliquen lo antes posible.
Los usuarios pueden determinar la versión exacta que corrige la falla en su
dispositivo utilizando el verificador de software de Cisco para su modelo
específico.
Aunque no existen mitigaciones ni soluciones alternativas para CVE-2025-20188,
deshabilitar la función «Descarga de imágenes de AP fuera de banda» es una
defensa sólida.
Actualmente, Cisco no tiene constancia de ningún caso de explotación activa de
CVE-2025-20188. Sin embargo, dada la gravedad del problema, es probable que
los actores de amenazas comiencen a escanear de inmediato los endpoints
vulnerables expuestos.
Fuente: BC