Les experts en sécurité appellent la vulnérabilité un «cas de manuel» de pratiques de codage dangereuses; Cisco émet un patch urgent.
La chaleur est de retour sur les contrôleurs LAN sans fil (WLCS) exécutant Cisco IOS XE après que les détails techniques d’un exploit de sévérité maximum récemment divulgué ont été rendus publics.
Un patch diffingant effectué par Horizon3.ai, une tenue de cybersécurité spécialisée dans les tests de stylo et la simulation d’attaque, a révélé des détails importants sur le défaut qui permet potentiellement aux attaquants de télécharger à distance des fichiers arbitraires.
« Compte tenu de la gravité et de la facilité d’exploitation, le correctif de cette vulnérabilité doit être une priorité importante immédiate pour toutes les organisations utilisant les appareils Cisco iOS XE WLC », a déclaré Shane Barne, CISO chez Keeper Security.
Selon l’analyse Horizon3, un jeton Web JSON à code dur (JWT) est à l’origine de l’exploit. « Il est crucial d’éliminer les secrets à code dur des workflows d’authentification, d’appliquer une validation de téléchargement de fichiers robuste et une désinfection par chemin et maintenir une surveillance continue et une gestion des correctifs sur tous les systèmes critiques », a ajouté Barne.
Diffing a permis de localiser JWT à code dur
Suivi sous le nom de CVE-2025-20188, le défaut divulgué plus tôt en mai s’est révélé être un problème affectant la fonction de téléchargement de point d’accès hors bande (AP) du logiciel Cisco IOS XE pour les WLC. L’interface de téléchargement d’image AP utilise un JWT à code dur pour l’authentification, qu’un attaquant peut utiliser pour authentifier les demandes sans identiques valides.
Les chercheurs d’Horizon3 ont diffusé le contenu du système de fichiers des images ISO pour arriver aux scripts LUA, où des modifications notables ont été trouvées. Les scripts ont référencé à la fois les jetons JWT et la clé associée, indiquant leur implication dans la vulnérabilité. Les chercheurs ont ensuite effectué une simple recherche GREP à travers le code source pour déterminer comment et où ces scripts LUA ont été invoqués.
Les chercheurs ont constaté que la vulnérabilité provient d’un mécanisme de secours défectueux dans le script LUA responsable de la validation des JWT. Lorsque le script ne localise pas une touche secrète, il utilise par défaut la chaîne codée en dur «Notfound» comme secret. Un attaquant peut élaborer un JWT signé avec le secret «pasfound» pour déclencher l’authentification de secours et contourner.
« Cette vulnérabilité est un exemple de manuel de la raison pour laquelle les secrets codés en dur et la validation insuffisante sont des anti-motifs dangereux dans la sécurité des logiciels », a déclaré Casey Ellis, fondateur de Bugcrowd. «L’utilisation de« Notfound »comme Secret JWT sent essentiellement le but de l’authentification basée sur les jetons – c’est comme verrouiller votre porte d’entrée mais laisser la clé sous le tapis avec un panneau qui dit« clé ici ».
Un appel à Patchage urgent
Cisco avait corrigé la faille de gravité maximale, CVSS 10 sur 10, en déploiement de la mi-mai pour les clients ayant des contrats de service et via Cisco Tacfor pour les clients sans contrat de service.
Les chercheurs ont recommandé une mise à niveau rapidement vers la dernière version du logiciel affecté, car aucune autre solution de contournement n’est disponible. « Pour les équipes de sécurité, la priorité est claire: patch immédiatement », a noté Ellis. « Si le correctif n’est pas possible à court terme, implémentez les contrôles de compensation comme la restriction de l’accès aux points de terminaison affectés, la surveillance des téléchargements de fichiers suspects et la désactivation des services inutiles. Il s’agit d’un` `dépose tout et réparez »
