Une vulnérabilité critique a été corrigée récemment dans le logiciel IOS XE de Cisco, affectant les contrôleurs de réseau local sans fil (Wireless LAN Controllers). Cette faille, exploitée via un JSON Web Token (JWT) codé en dur, permettrait à un attaquant distant non authentifié de prendre le contrôle complet des appareils vulnérables.
Une faille de sécurité majeure dans IOS XE
Le jeton JWT en question est destiné à authentifier les requêtes pour une fonctionnalité nommée « Out-of-Band AP Image Download ». Cependant, ce jeton étant codé en dur dans le système, n’importe qui peut usurper l’identité d’un utilisateur autorisé sans posséder les identifiants requis.
Référencée sous l’identifiant CVE-2025-20188, cette vulnérabilité détient la note maximale de 10.0 selon le système CVSS, ce qui signifie que les attaquants peuvent potentiellement compromettre totalement les dispositifs concernés.
Modalités d’exploitation et conséquences
D’après le bulletin de sécurité Cisco, « un attaquant pourrait exploiter cette faille en envoyant des requêtes HTTPS spécialement conçues à l’interface de téléchargement d’images AP ». Une exploitation réussie pourrait permettre de :
- Uploader des fichiers malveillants,
- Effectuer des traversées de répertoire (path traversal),
- Exécuter des commandes arbitraires avec les privilèges root.
Il est important de noter que cette vulnérabilité est exploitable uniquement si la fonctionnalité « Out-of-Band AP Image Download » est activée, ce qui n’est pas le cas par défaut.
Fonctionnalité concernée et impact sur les déploiements
Cette fonction permet aux points d’accès (AP) de télécharger les images système via HTTPS plutôt que par le protocole CAPWAP, offrant ainsi un moyen plus flexible et direct pour le déploiement du firmware. Bien que désactivée par défaut, elle peut être activée dans certains déploiements d’entreprise à grande échelle pour accélérer la configuration ou la récupération des AP.
Appareils concernés
- Contrôleurs sans fil Catalyst 9800-CL pour le cloud,
- Contrôleur sans fil intégré Catalyst 9800 pour les commutateurs Catalyst 9300, 9400, et 9500,
- Contrôleurs sans fil de la série Catalyst 9800,
- Contrôleur sans fil intégré sur les points d’accès Catalyst.
À l’inverse, les produits suivants ne sont pas affectés par cette vulnérabilité de JWT codé en dur : Cisco IOS (non-XE), Cisco IOS XR, les produits Cisco Meraki, Cisco NX-OS ainsi que les contrôleurs WLC basés sur Cisco AireOS.
Recommandations et mises à jour
Cisco a publié des mises à jour de sécurité pour corriger cette faille critique. Les administrateurs réseau sont vivement encouragés à appliquer ces correctifs sans délai afin de protéger leurs infrastructures.
Pour identifier la version appropriée corrigeant la vulnérabilité sur leur matériel, les utilisateurs peuvent consulter l’outil Cisco Software Checker dédié à chaque modèle de dispositif.
Bien qu’aucune solution temporaire ou contournement ne soit officiellement disponible pour la CVE-2025-20188, désactiver la fonctionnalité « Out-of-Band AP Image Download » constitue une mesure défensive efficace.
Situation actuelle et vigilance accrue
À ce jour, Cisco n’a signalé aucun cas d’exploitation active de cette vulnérabilité. Toutefois, compte tenu de sa gravité, il est probable que des acteurs malveillants commencent rapidement à rechercher des points d’accès vulnérables sur Internet.
