Cisco IOS XE WLC Jadi Bulan-bulanan Hacker? Jangan Panik Dulu!
Dunia cybersecurity kembali bergejolak! Detail teknis mengenai kerentanan serius pada Cisco IOS XE WLC, yang diberi kode CVE-2025-20188, telah dipublikasikan. Artinya? Potensi eksploitasi makin nyata, tapi di sisi lain, pencegahan juga makin terfokus. Anggap saja ini alarm dini sebelum konser metal dimulai.
Horizon3, tim researcher yang budiman, memang tidak membagikan script eksploitasi RCE (Remote Code Execution) siap pakai. Tapi, informasi yang mereka berikan sudah cukup untuk seorang attacker yang berpengalaman, atau bahkan model bahasa AI, untuk merangkai puzzle yang hilang. Jadi, bayangkan seperti resep rahasia, tapi beberapa bahan masih dirahasiakan.
Mengingat risiko penyalahgunaan yang urgent, Cisco menghimbau semua pengguna yang terdampak untuk segera mengambil tindakan pengamanan sistem. Ibarat kata, "Jangan tunggu petir menyambar, sedia payung sebelum hujan," well, atau firewall sebelum malware.
Cisco IOS XE WLC: Apa yang Sebenarnya Terjadi?
Awal Mei 2025, Cisco merilis pengumuman tentang kerentanan kritis pada software IOS XE untuk Wireless LAN Controllers. Kerentanan ini memungkinkan attacker untuk mengambil alih perangkat. Kedengarannya scary, kan?
Menurut Cisco, penyebabnya adalah adanya hardcoded JSON Web Token (JWT). Ini memungkinkan attacker dari jarak jauh yang tidak terautentikasi untuk mengunggah file, melakukan manipulasi path, dan mengeksekusi perintah arbitrer dengan hak akses root. Jadi, ibarat memberikan kunci utama kerajaan kepada orang asing.
Peringatan keamanan Cisco menyatakan bahwa CVE-2025-20188 hanya berbahaya jika fitur ‘Out-of-Band AP Image Download’ diaktifkan pada perangkat. Jika ya, model-model berikut berisiko:
- Catalyst 9800-CL Wireless Controllers for Cloud.
- Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, dan 9500 series switches.
- Catalyst 9800 Series Wireless Controllers.
- Embedded Wireless Controller on Catalyst APs.
Analisis Serangan Ala Horizon3: Bongkar Habis!
Analisis dari Horizon3 mengungkap bahwa kerentanan ini disebabkan oleh fallback secret JWT yang di-hardcode (‘notfound’). Rahasia ini digunakan oleh script Lua di backend pada endpoint upload, ditambah lagi dengan validasi path yang kurang memadai. Ini seperti meninggalkan pintu belakang rumah terbuka lebar dengan tulisan "Silahkan Masuk".
Backend menggunakan script OpenResty (Lua + Nginx) untuk memvalidasi token JWT dan menangani upload file. Jika file ‘/tmp/nginx_jwt_key’ tidak ada, script akan menggunakan ‘notfound’ sebagai secret key untuk memverifikasi JWT.
Ini memungkinkan attacker untuk menghasilkan token yang valid tanpa mengetahui informasi rahasia apa pun. Cukup gunakan ‘HS256’ dan ‘notfound’, voila! Token ajaib pun tercipta.
Contoh dari Horizon3 mengirimkan permintaan HTTP POST dengan upload file ke endpoint ‘/ap_spec_rec/upload/’ melalui port 8443. Mereka menggunakan manipulasi path dalam nama file untuk menempatkan file yang tidak berbahaya (foo.txt) di luar direktori yang seharusnya. Seperti menyembunyikan malware di balik file kucing lucu.
Remote Code Execution: Level Up Kejahatan Siber!
Untuk meningkatkan kerentanan upload file menjadi remote code execution, seorang attacker dapat menimpa file konfigurasi yang dimuat oleh layanan backend, menempatkan web shell, atau menyalahgunakan file yang dipantau untuk melakukan tindakan tidak sah. Ini seperti memberikan attacker kendali penuh atas sistem.
Contoh dari Horizon3 mengeksploitasi layanan ‘pvp.sh’ yang memantau direktori tertentu, menimpa file konfigurasi yang diandalkannya, dan memicu tindakan reload untuk mengeksekusi perintah dari attacker. Bayangkan seperti meretas remote control TV, tapi dampaknya jauh lebih berbahaya.
Solusi Jitu: Update dan Amankan!
Mengingat meningkatnya risiko eksploitasi, pengguna disarankan untuk segera upgrade ke versi yang sudah diperbaiki (17.12.04 atau lebih baru). Ini seperti meng-install patch pada luka digital.
Sebagai solusi sementara, administrator dapat menonaktifkan fitur Out-of-Band AP Image Download untuk menonaktifkan layanan yang rentan. Anggap saja ini seperti menutup pintu belakang yang tadi sempat terbuka lebar.
Keamanan Jaringan: Jangan Jadi Korban Selanjutnya!
Penting untuk memahami bahwa keamanan jaringan adalah tanggung jawab bersama. Kerentanan seperti CVE-2025-20188 mengingatkan kita bahwa tidak ada sistem yang sepenuhnya aman. Selalu update software, terapkan praktik keamanan terbaik, dan jangan pernah meremehkan potensi ancaman. Jadilah netizen yang cerdas dan waspada.
