A Cisco anunciou a correção de uma vulnerabilidade extremamente grave no sistema IOS XE que afetava controladores de LAN sem fio. O problema, identificado como CVE-2025-20188, permitia que invasores remotos não autenticados tomassem o controle completo dos dispositivos afetados.
Cisco elimina falha crítica que expunha dispositivos a controle remoto no IOS XE
A falha está relacionada ao uso de um JSON Web Token (JWT) codificado, usado para autenticar o recurso “Download de imagem de ponto de acesso fora de banda”. Como o token era fixo, qualquer usuário mal-intencionado poderia se passar por um administrador legítimo, sem precisar de credenciais.
Com pontuação CVSS máxima de 10,0, o exploit permite que um invasor envie requisições HTTPS maliciosas ao sistema, resultando no carregamento de arquivos, acesso a caminhos restritos e execução de comandos com privilégios de root.
Entenda a origem da vulnerabilidade
O recurso vulnerável permite que Access Points (APs) realizem o download de firmware diretamente por HTTPS, fora do protocolo CAPWAP. Essa abordagem oferece mais flexibilidade para ambientes que necessitam de rápida recuperação ou provisionamento automatizado.
Embora desativada por padrão, a funcionalidade pode ser ativada em grandes ambientes corporativos, o que aumenta o risco para empresas que não estejam cientes da exposição.
Equipamentos impactados
A brecha afeta dispositivos que executem o IOS XE e tenham o recurso ativado, incluindo:
- Controladores sem fio Catalyst 9800-CL (em nuvem)
- Catalyst 9800 integrados aos switches das séries 9300, 9400 e 9500
- Controladores da série Catalyst 9800
- Controladores embutidos em APs Catalyst
Por outro lado, os seguintes sistemas não são afetados:
- Cisco IOS tradicional (não XE)
- Cisco IOS XR
- Equipamentos Cisco Meraki
- Cisco NX-OS
- Controladores baseados no Cisco AireOS
Recomendação imediata: aplique as atualizações
A Cisco já disponibilizou as correções de segurança e recomenda que os administradores atualizem os sistemas o quanto antes. A empresa também disponibiliza o Cisco Software Checker, ferramenta útil para confirmar se o modelo do seu equipamento foi corrigido.
Atualmente, não há soluções alternativas, mas a desativação do recurso vulnerável representa uma defesa eficaz caso a atualização imediata não seja viável.
Apesar de não haver evidências de ataques em andamento, a natureza crítica da falha sugere que cibercriminosos poderão começar a explorar endpoints vulneráveis em breve.