# CVE-2025-20393 - Cisco Catalyst Center Injeção de Comandos (RCE como root) > [!critical] CVSS 10.0 - CISA KEV - Exploração Ativa > Vulnerabilidade crítica de injeção de comandos no Cisco Catalyst Center (antigo DNA Center). Permite execução remota de código como root sem qualquer autenticação. Adicionada ao CISA KEV em outubro de 2025. ## Visão Geral O **CVE-2025-20393** é uma vulnerabilidade de injeção de comandos no sistema operacional (CWE-78) na interface web do **[[Cisco Catalyst Center]]** (anteriormente conhecido como Cisco DNA Center). A falha permite que um atacante remoto, sem qualquer credencial, execute comandos arbitrários no sistema operacional subjacente com privilégios de root. O Cisco Catalyst Center é a plataforma de gerenciamento de rede centralizada da Cisco para ambientes baseados em SD-Access e intent-based networking (IBN). Por gerenciar configurações, políticas e automação de toda a infraestrutura de rede, um comprometimento dessa plataforma implica controle sobre múltiplos dispositivos de rede downstream, tornando o impacto potencial catastrófico para a organização afetada. A inclusão desta CVE no catálogo **CISA Known Exploited Vulnerabilities (KEV)** em outubro de 2025, poucos dias após a divulgação pública, confirma exploração ativa em ambientes reais. Organizações com o Cisco Catalyst Center acessível à internet devem considerar comprometimento como altamente provável se o patch não foi aplicado. ## Como Funciona A vulnerabilidade reside na válidação insuficiente de parâmetros de entrada em endpoints da interface de gerenciamento web do Catalyst Center. Um atacante envia uma requisição HTTP especialmente construída, inserindo metacaracteres de shell nos parâmetros, que são processados pelo sistema operacional sem sanitização adequada. ```mermaid graph TB A["🔍 CVE-2025-20393 · CVSS 10.0<br/>Cisco Catalyst Center - Injeção de Comandos"] --> B["🎯 Identificar Catalyst Center<br/>Interface web exposta<br/>porta 443 acessível"] B --> C["💥 Injetar Comando OS<br/>Parâmetro HTTP sem sanitização<br/>metacaracteres de shell"] C --> D["🔧 RCE como Root<br/>Execução no sistema operacional<br/>privilégios máximos"] D --> E["🔧 Persistência no Controller<br/>Backdoor instalado<br/>acesso permanente"] E --> F["💀 Controle de Rede Corporativa<br/>Modificar políticas, configs<br/>pivô para infraestrutura"] classDef critical fill:#e74c3c,stroke:#e74c3c,color:#ecf0f1 classDef exploit fill:#e67e22,stroke:#e67e22,color:#ecf0f1 classDef postexploit fill:#2c3e50,stroke:#2c3e50,color:#ecf0f1 classDef impact fill:#3498db,stroke:#3498db,color:#ecf0f1 class A critical class B,C exploit class D,E postexploit class F impact ``` **Pontuação de risco:** - CVSS v3.1: **10.0** (Crítico) - pontuação máxima possível - Vetor: `AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H` - CISA KEV: **adicionado em 2025-10-08** com prazo de remediação acelerado - Exploit: **exploração ativa confirmada** em ambientes reais ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Cisco | Catalyst Center (DNA Center) | < 2.3.7.8 | 2.3.7.8 | | Cisco | Catalyst Center (DNA Center) | < 2.3.7.9 | 2.3.7.9 | **Como verificar a versão:** 1. Acessar a interface web do Catalyst Center 2. Navegar para `System > System 360 > Software Updates` 3. Verificar a versão exibida no painel de status **Não afetados:** Versões devidamente atualizadas, ambientes cloud-managed com atualização automática ativada. ## Impacto Técnico O Cisco Catalyst Center atua como plano de controle centralizado para redes baseadas em SD-Access. Um comprometimento desta plataforma implica: - **Execução de código remoto como root:** controle total do sistema operacional do appliance - **Acesso ao plano de gerenciamento:** visibilidade e controle sobre toda a topologia de rede gerenciada - **Modificação de políticas de rede:** alteração de ACLs, VLANs, QoS e segmentação de rede - **Exfiltração de credenciais:** o Catalyst Center armazena credenciais de dispositivos de rede - **Pivô para infraestrutura downstream:** comprometimento dos switches, roteadores e APs gerenciados ## Mitigação **Patch obrigatório:** - Atualizar para Cisco Catalyst Center versão **2.3.7.8** ou superior - Advisory oficial: [Cisco Security Advisory cisco-sa-catalyst-center-cmdinj](https://sec.cloudapps.cisco.com/security/center/publicationListing.x) - Nenhuma solução alternativa (workaround) disponível para esta CVE **Ações imediatas:** 1. Verificar a versão atual do Catalyst Center via painel de sistema 2. Restringir acesso à interface de gerenciamento - remover exposição à internet pública 3. Implementar acesso exclusivo por redes de gerenciamento dedicadas (OOB) 4. Auditar logs de acesso à interface web em busca de requisições anômalas (pré-auth) 5. Verificar integridade do sistema: processos inesperados, modificações de configuração recentes 6. Após patch: auditar contas administrativas e políticas de rede por modificações não autorizadas **Mitigações temporárias** (quando patch não é imediatamente viável): - Bloquear acesso externo à interface de gerenciamento por firewall ou ACL - Limitar acesso apenas a hosts de gerenciamento autorizados por lista de IPs - Aumentar o monitoramento de logs de autenticação e acesso à interface web ## Contexto LATAM > [!latam] Impacto Brasil e América Latina > O Cisco Catalyst Center tem adoção crescente em grandes bancos, operadoras de telecomúnicações e órgãos governamentais brasileiros que modernizaram sua infraestrutura de rede com SD-Access. Organizações nos setores **financeiro**, **governo** e **telecomúnicações** com Catalyst Center exposto devem considerar remediação P1 imediata. > > A janela de exploração zero-day antes da divulgação pública, combinada com a confirmação de exploração ativa, aumenta significativamente o risco para organizações LATAM que têm ciclos de patching mais lentos. O CERT.br e o CTIR Gov foram alertados sobre esta vulnerabilidade. ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2025-20393 (TLP:GREEN) > **Padrões de exploração na interface web:** > - Requisições HTTP com metacaracteres de shell (`;`, `|`, `&&`, `$(`, `` ` ``) em parâmetros de input > - Requisições pré-autenticação a endpoints administrativos da API > > **Artefatos no host (Catalyst Center comprometido):** > - Processos não autorizados rodando como root no appliance > - Novas tarefas agendadas (cron jobs) sem correspondência na configuração padrão > - Binários desconhecidos em diretórios de sistema do appliance > - Modificações em arquivos de configuração de rede sem registro de mudança aprovado > > **Indicadores de rede:** > - Conexões de saída inesperadas originárias do Catalyst Center para IPs externos > - Tráfego de gerenciamento de rede anômalo (NETCONF, RESTCONF, SSH) a partir do appliance > > **Fontes:** [Cisco Advisory](https://sec.cloudapps.cisco.com/security/center/publicationListing.x) · [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) · [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-20393) ## Notas Relacionadas **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] **Setores em risco:** [[financial]] · [[government]] · [[telecommunications|telecomúnicações]] · [[critical-infrastructure]] **CVEs Cisco relacionadas:** [[cve-2026-20131|CVE-2026-20131]] · [[cve-2026-20127|CVE-2026-20127]] **Mitigações:** [[m1030-network-segmentation|M1030 - Network Segmentation]] · [[m1042-disable-or-remove-feature-or-program|M1042 - Disable or Remove Feature or Program]] ## Referências - [NVD - CVE-2025-20393](https://nvd.nist.gov/vuln/detail/CVE-2025-20393) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Cisco Security Advisory](https://sec.cloudapps.cisco.com/security/center/publicationListing.x)