Techninė informacija apie maksimalaus savijauto „Cisco IOS XE WLC“ savavališką failų įkėlimo trūkumą, stebėtą kaip CVE-2010188, buvo viešai prieinami, priartinantys mus prie veikiančio išnaudojimo.
„Horizon3“ tyrėjų rašyme nėra „paruošto paleidimo“ „Concept RCE“ išnaudojimo scenarijaus įrodymo, tačiau jame yra pakankamai informacijos kvalifikuotam užpuolikui ar net LLM, kad būtų galima užpildyti trūkstamus kūrinius.
Atsižvelgiant į tiesioginę ginkluotės riziką ir plačiai naudojamą atakose, rekomenduojama, kad paveikti vartotojai imtųsi veiksmų dabar, kad apsaugotų savo galinius taškus.
„Cisco iOS XE WLC“ trūkumas
2025 m. Gegužės 7 d. „Cisco“ atskleidė kritinį „iOS XE“ programinės įrangos trūkumą belaidžiams LAN valdikliams, o tai leidžia užpuolikui perimti įrenginius.
Pardavėjas teigė, kad jį sukelia užkoduotas JSON žiniatinklio žetonas (JWT), leidžiantis neautentifikuotam, nuotoliniam užpuolikui įkelti failus, atlikti kelio važiavimą ir vykdyti savavališkas komandas, turinčias šaknų privilegijas.
Biuletenis pažymėjo, kad CVE-20125-20188 yra pavojinga tik tada, kai įrenginyje įjungta funkcija „Out Band Band AP Image Download“. Tokiu atveju rizikuoja šie įrenginių modeliai:
- „Catalyst 9800-CL“ belaidžiai valdikliai debesims
- „Catalyst 9800“ įterptas belaidis valdiklis, skirtas 9300, 9400 ir 9500 serijos jungikliams
- „Catalyst 9800“ serijos belaidžiai valdikliai
- Įterptas belaidis valdiklis „Catalyst APS“
„Horizon3“ atakos pavyzdys
„Horizon3“ analizė rodo, kad trūkumas egzistuoja dėl kieto koduoto JWT atsarginės paslapties („nefound“), kurią naudojo „Lua“ scenarijai, skirti įkelti galinius taškus kartu su nepakankamu kelio patvirtinimu.
Tiksliau, „Backend“ naudoja „OpenResty“ (LUA + NGINX) scenarijus, kad patvirtintų JWT žetonus ir tvarkytų failų įkėlimus, tačiau jei trūksta failo „/tmp/nginx_jwt_key“, scenarijus grįžta prie eilutės „nefund“ kaip paslaptis, kad patikrintų JWTS.
Iš esmės tai leidžia užpuolikams generuoti galiojančius žetonus, nežinant jokių paslapčių, tiesiog naudodamiesi „HS256“ ir „nefound“.
„Horizon3“ pavyzdys siunčia HTTP POST užklausą su failo įkėlimu į „/ap_spec_rec/įkelti/'galutinį tašką per 8443 prievadą ir naudoja failo pavadinimo kelią, kad būtų galima numesti nekenksmingą failą (foo.txt) už numatyto katalogo ribų.
.jpg)
Šaltinis: „Horizon3“
Norėdami padidinti failo įkėlimo trūkumą į nuotolinio kodo vykdymą, užpuolikas galėjo perrašyti konfigūracijos failus, įkeltus „Backend Services“, „Drop Web Shells“ ar piktnaudžiavimo failus, kad suaktyvintų neteisėtus veiksmus.
„Horizon3“ pavyzdys piktnaudžiauja „pvp.sh“ paslauga, kuri stebi konkrečius katalogus, perrašo konfigūracijos failus, nuo kurių priklauso, ir suaktyvina perkrovą net paleisti užpuoliko komandas.
Atsižvelgiant į padidėjusią išnaudojimo riziką, vartotojams rekomenduojama kuo greičiau atnaujinti į pataisytą versiją (17.12.04 arba naujesnę).
Kaip laikinas sprendimas, administratoriai gali išjungti ne juostos AP vaizdo atsisiuntimo funkciją, kad uždarytų pažeidžiamą paslaugą.
Rankinis pataisymas yra pasenęs. Tai lėtas, klaidų linkęs ir sunku išplėsti.
Prisijunkite prie „Kandji + Tines“ birželio 4 d., Kad pamatytumėte, kodėl seni metodai trūksta. Žr. Realaus pasaulio pavyzdžius, kaip šiuolaikinės komandos naudoja automatizavimą, kad greičiau pataisytų, sumažintų riziką, išliks suderinami ir praleistų sudėtingus scenarijus.
