cve-2018-4063 - RunkIntel

# CVE-2018-4063 - Escalação de Privilégios no Cisco WLC > [!high] CVSS 7.8 - CISA KEV - Exploração Ativa > Vulnerabilidade de escalação de privilégios no Cisco Wireless LAN Controller que permite a um atacante local autenticado executar comandos arbitrários com privilégios elevados na plataforma de gerenciamento de rede sem fio. ## Visão Geral CVE-2018-4063 é uma vulnerabilidade de **escalação de privilégios local** no Cisco Wireless LAN Controller (WLC), a plataforma centralizada da Cisco para gerenciamento de pontos de acesso Wi-Fi em ambientes corporativos. A falha reside na interface de linha de comando (CLI) do WLC, onde parâmetros de entrada não são adequadamente sanitizados, permitindo que um usuário autenticado com privilégios reduzidos injete comandos que são executados com permissões de nível de sistema operacional. O impacto é significativo porque o Cisco WLC é um componente central em redes corporativas e governamentais - um atacante que obtenha acesso inicial ao sistema (mesmo com uma conta de baixo privilégio) pode usar esta falha para comprometer completamente o controlador, afetando toda a infraestrutura de rede sem fio gerenciada. Isso inclui a capacidade de modificar configurações de SSID, capturar tráfego de clientes e criar backdoors persistentes. A inclusão desta vulnerabilidade no catálogo CISA Known Exploited Vulnerabilities (KEV) em setembro de 2022 confirmou exploração ativa em ambientes reais, quatro anos após a divulgação original - indicando que organizações que não aplicaram o patch continuam sendo alvos ativos. A CISA estabeleceu prazo de remediação para agências federais dos EUA. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Cisco | Wireless LAN Controller | 8.3.x antes do 8.3.150.0 | 8.3.150.0 e posterior | | Cisco | Wireless LAN Controller | 8.4.x antes do 8.4.100.0 | 8.4.100.0 e posterior | | Cisco | Wireless LAN Controller | 8.5.x antes do 8.5.120.0 | 8.5.120.0 e posterior | ## Como Funciona A vulnerabilidade existe na CLI do Cisco WLC, onde certas entradas de comandos não são devidamente válidadas antes de serem processadas pelo sistema operacional subjacente. Um atacante que possua credenciais válidas de acesso ao WLC - mesmo com privilégios operacionais limitados - pode explorar esta falha inserindo sequências especialmente construídas em parâmetros de comandos CLI aceitos pelo controlador. Essas sequências permitem a injeção de comandos adicionais que são executados com os privilégios elevados do processo principal do WLC. O vetor de ataque é local (AV:L), exigindo que o atacante já tenha acesso autenticado ao dispositivo, seja via SSH, Telnet ou console físico. A complexidade de ataque é baixa (AC:L) e não requer interação de outros usuários (UI:N), tornando a exploração relativamente direta uma vez que o acesso inicial foi obtido. ## TTPs Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - técnica primária explorada - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - execução de comandos arbitrários - [[t1078-valid-accounts|T1078 - Valid Accounts]] - pré-requisito: acesso autenticado inicial - [[t1098-account-manipulation|T1098 - Account Manipulation]] - possível pós-exploração ## Contexto LATAM > [!latam] Impacto para Brasil e América Latina > O **Cisco WLC** é amplamente utilizado em ambientes corporativos e governamentais no Brasil e na América Latina, especialmente em setores como **financeiro**, **governo** e **educação**. Muitas organizações latino-americanas operam infraestruturas de rede sem fio críticas baseadas na plataforma Cisco, tornando-as potencialmente vulneráveis caso o patch não tenha sido aplicado. A longevidade desta vulnerabilidade no CISA KEV (adicionada 4 anos após o lançamento do patch) sugere que instalações desatualizadas permanecem comuns, especialmente em ambientes com ciclos de atualização mais lentos como órgãos públicos e instituições de ensino. ## Mitigação 1. Atualizar o Cisco WLC para a versão corrigida conforme a tabela de produtos afetados acima 2. Se o patch imediato não for possível: restringir acesso à CLI do WLC por IP, desabilitando acesso Telnet e limitando SSH a endereços de gerenciamento específicos 3. Implementar controles de acesso baseados em funções (RBAC) para minimizar o número de contas com acesso CLI 4. Ativar logging detalhado de comandos CLI e alertar sobre padrões de uso anômalos 5. Revisar logs de acesso anteriores para identificar possível exploração antes da aplicação do patch 6. Isolar o plano de gerenciamento do WLC em uma VLAN de gerenciamento dedicada, inacessível da rede de produção ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2018-4063 Cisco WLC (TLP:CLEAR) > **Artefatos no host:** > - Comandos CLI incomuns em logs do WLC, especialmente com caracteres especiais ou sequências de escape > - Contas administrativas criadas ou modificadas sem autorização documentada > - Modificações de configuração de SSID fora de janelas de manutenção > > **Comportamento de rede:** > - Acessos SSH/Telnet ao WLC de endereços IP fora da sub-rede de gerenciamento aprovada > - Sessões CLI com duração incomum ou executando múltiplos comandos em sequência rápida > > **Fontes:** [Cisco Advisory cisco-sa-20180418-wlc1](https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wlc1) · [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Notas Relacionadas **Vendor:** [[_cisco|Cisco]] **TTPs:** [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1059-command-and-scripting-interpreter|T1059]] · [[t1078-valid-accounts|T1078]] **Setores em risco:** [[government|governo]] · [[financial|financeiro]] · [[technology|tecnologia]] **CVEs relacionadas no mesmo vendor:** [[cve-2018-0150|CVE-2018-0150]] · [[cve-2019-1674|CVE-2019-1674]] ## Referências - [Cisco Security Advisory - cisco-sa-20180418-wlc1](https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-wlc1) - [NVD - CVE-2018-4063](https://nvd.nist.gov/vuln/detail/CVE-2018-4063) - [CISA KEV - Catálogo de Vulnerabilidades Exploradas](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)