出典: Sergiy Palamarchuk via Shutterstock
CiscoのIOS XE Wireless Controllerソフトウェアにおける最近公開された最大深刻度の脆弱性を攻撃者が悪用するリスクが、欠陥に関する詳細な技術情報の公開後、大幅に増加しました。
金曜日にHorizon3.aiが公開した分析は、概念実証のエクスプロイトコードを提供するには至りませんでしたが、他の研究者や脅威アクターが動作するエクスプロイトを開発するのに十分な詳細を含んでいました。
エクスプロイトの設計図
この開示により、組織が影響を受けたデバイスに対してCiscoのパッチを迅速に適用する緊急性が高まり、悪用されるリスクを残すことになります。
「公開された技術的詳細は、動作するエクスプロイトを開発するのに十分です」とKeeper Securityの最高情報セキュリティ責任者(CISO)であるShane Barney氏は述べています。「Horizonの開示から得られる最も重要な情報は、攻撃者がこの脆弱性をリモートコード実行エクスプロイトに変える方法、具体的には任意のファイルをアップロードし、認証なしで影響を受けたデバイス上でコードを実行する能力です。」
Ciscoは、任意のファイルアップロードの脆弱性であるCVE-2025-20188を5月7日に開示し、同日にパッチをリリースしました。同社は、この脆弱性がCisco IOS XEソフトウェアのWireless LAN ControllersにおけるOut-of-Band Access Point Image Download機能に関連していると特定しました。Ciscoは、この欠陥に最大の深刻度スコア10をCVSSスケールで割り当て、攻撃者がこれを使用して影響を受けたデバイスでルートレベルのアクセスを得る可能性があると述べています。
関連:重要なバグが広く使用されている防火安全OT/ICSプラットフォームの乗っ取りを引き起こす可能性
「この脆弱性は、影響を受けたシステムにハードコードされたJSON Web Token(JWT)が存在することによるものです」とCiscoは当時述べていました。「攻撃者は、APイメージダウンロードインターフェースに細工されたHTTPSリクエストを送信することでこの脆弱性を悪用することができます。成功したエクスプロイトは、攻撃者にファイルをアップロードし、パストラバーサルを実行し、任意のコマンドをroot権限で実行することを可能にします。」
広く展開されている
多くの組織が、ワイヤレスネットワークを管理し、セキュリティを確保するためにCisco IOS XEをWireless LAN Controllersに使用しています。これは、企業全体のワイヤレス接続のための集中管理とスケーラビリティを提供します。脆弱性が存在するOut-of-Band AP Image Download機能は、組織がワイヤレスアクセスポイントを更新することを可能にしますが、デフォルトでは有効になっていません。Ciscoによれば、CVE-2025-20188に対するエクスプロイトが機能するためには、この機能を有効にする必要があります。
Horizon3の研究者は、影響を受けたソフトウェアコンポーネントのパッチ適用バージョンと未パッチバージョンを比較して、脆弱性について何を学べるかを確認しました。彼らの分析は、脆弱性の根本原因が、ファイルをアップロードできるのは認可されたユーザーのみであることを確認するはずのハードコードされたJWTであることをすぐに確認しました。しかし、彼らはJWTに「notfound」と呼ばれるハードコードされたデフォルトキーがあり、攻撃者が簡単に見つけることができることを発見しました。さらに、研究者たちは、アップロードされたファイルの検証が不十分であることを発見し、攻撃者が特別に細工されたHTTPSリクエストを送信して問題を悪用することが可能であることを確認しました。
関連:中国とのAI競争において、セキュリティを忘れないでください
「CVE-2025-20188の欠陥は、ハードコードされた認証トークンが使用されていることによって引き起こされるCisco IOS XEソフトウェアの脆弱性であり、攻撃者がパストラバーサル攻撃を実行し、任意のファイルをアップロードし、最終的に影響を受けたデバイス上でコマンドを実行することを可能にします」とHorizon3.aiの攻撃チーム研究者であるJimi Sebree氏は述べています。「これはデバイスの完全な乗っ取りをもたらします。」
成功したエクスプロイトは、攻撃者をトラフィックを監視し、設定を変更し、ネットワークの他の部分に横移動する位置に置く可能性があるとSebree氏は指摘します。このバグは悪用が簡単で、特別なスキルやCisco技術の知識を必要としないと彼は付け加えます。
深刻度と悪用の容易さを考慮すると、Cisco IOS XE WLCデバイスを使用しているすべての組織にとって、この脆弱性のパッチ適用は直ちに最優先事項であるべきだとBarney氏は言います。「彼らはCiscoの公式アドバイザリを迅速に確認し、推奨される緩和策とパッチを適用し、認可されていないJWTの使用や異常なファイルアップロードの兆候をアクセスログで監査するべきです」と彼は言います。
関連:新しいボットネットがASUSルーターに永続的なバックドアを設置
より広範に、Barney氏は、認証ワークフローからハードコードされたシークレットを排除し、強力なファイルアップロードの検証とパスのサニタイズを実施し、すべての重要なシステムにわたって継続的な監視とパッチ管理を実施することが重要であると言います。
すべてを中断してパッチを適用すべきバグ
Bugcrowdの創設者であるCasey Ellis氏は、CVE-2025-20188は、ハードコードされたシークレットと不十分な検証の脆弱性がなぜ危険なのかを示す教科書的な例であると言います。昨年、脅威アクターは、CVE-2014-2120として追跡されている10年前のCiscoの脆弱性における類似の入力検証問題を悪用し始め、同社は緊急アドバイザリを発行しました。
「’notfound’をフォールバックJWTシークレットとして使用することは、トークンベースの認証の目的を完全に無効にします」とEllis氏は言います。「それは、玄関の鍵をかけるが、マットの下に鍵を置き、’ここに鍵あり’というサインを置くようなものです」と彼は言います。「これと弱いパス検証の組み合わせが、攻撃者が悪用するための完璧な嵐を作り出します。」
攻撃者が任意のファイルアップロードからリモートコード実行に移行するメカニズムは簡単であるとEllis氏は言います。この脆弱性を利用することで、攻撃者は認証を回避するための有効なJWTを作成できます。「そこから、任意のファイルアップロードの欠陥により、ターゲットシステムに悪意のあるファイル—ウェブシェル、変更された設定、または他のペイロード—を設置することができます。」
Horizonの研究は、攻撃者が監視されたファイルを操作してコマンドを実行することで、これをリモートコード実行にエスカレートできる方法を示しています。
Ciscoは以前、この脆弱性に対する回避策がないことを組織に警告していました。すぐにパッチを適用できない組織に対して、同社はOut-of-Band AP Image Download機能を無効にすることを強く推奨しました。
「本当の危険は、影響を受けたシステムのアクセス性と重要性にあります。Cisco IOS XEは企業やサービスプロバイダーの環境で広く展開されており、成功したエクスプロイトは重大な混乱や機密データの侵害につながる可能性があります」とEllis氏は言います。「これは『すべてを中断して修正する』タイプのバグであり、待つことは選択肢ではありません。」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/exploitation-risk-grows-critical-cisco-bug