Descoberta e escopo
Pesquisadores da Cisco identificaram durante um caso de suporte uma falha de validação de entrada no Catalyst Center Virtual Appliance que recebeu a identificação CVE-2025-20341 (CVSS 8.8). A falha afeta instâncias do appliance virtual executadas sobre VMware ESXi e impacta versões a partir de 2.3.7.3-VA. A Cisco informou que "no public exploits have been observed yet", oferecendo uma janela para correção antes de exploração massiva.
Vetor técnico e mecanismo
O problema deriva de insuficiente validação de dados em requisições HTTP processadas pelo appliance. Requisições especialmente construídas conseguem contornar checagens internas e induzir o sistema a realizar operações com privilégios elevados. Segundo o advisory, um usuário com papel Observer — normalmente limitado à visualização — pode explorar a falha para ganhar privilégios de Administrator.
Impacto e superfícies afetadas
- CVE: CVE-2025-20341
- CVSS: 8.8 (High)
- Produtos afetados: Cisco Catalyst Center Virtual Appliance (VMware ESXi)
- Versões vulneráveis: 2.3.7.3-VA e posteriores (appliances virtuais)
- Versão corrigida: 2.3.7.10-VA
- Vetor: Network (remo)
Com acesso de administrador um atacante pode criar contas, modificar configurações e comprometer a gestão de dispositivos de rede monitorados pelo Catalyst Center, ampliando risco a toda a infraestrutura gerenciada.
Mitigações e recomendações
A Cisco disponibilizou a release 2.3.7.10-VA como correção. O advisory indica que não existem workarounds oficiais, tornando a atualização o único remédio eficaz. Hardware appliances e instâncias virtuais hospedadas em AWS não são afetadas pelo problema, segundo a Cisco.
Recomendações imediatas para equipes de segurança e operações:
- Planejar e aplicar atualização para Catalyst Center 2.3.7.10-VA nas instâncias ESXi afetadas.
- Priorizar ambientes de gestão de rede expostos à internet ou com acesso amplo entre squads de rede/segurança.
- Revisar controles de acesso e papéis: limitar privilégios Observer e auditar ações de contas com permissões de visualização em períodos críticos.
- Monitorar logs de autenticação e criação de contas administrativas até confirmação da correção em todos os ambientes.
Limites das informações
As fontes não descrevem exploits públicos nem indicadores de comprometimento observados em ataques em larga escala; a Cisco afirma especificamente que não houve observações públicas de exploit até o momento. Não há detalhes sobre sequências exatas de payloads usadas na exploração.
Relevância para operadores
Sistemas de gerenciamento centralizado como o Catalyst Center representam uma superfície de alto impacto: a compromissão de um único nó administrativo pode permitir movimentação lateral e alteração de políticas em larga escala. Equipes responsáveis por SIEM, IAM e gestão de redes devem coordenar a correção e elevar a monitoração até a mitigação completa.
O que fazer agora
- Inventariar appliances Catalyst Center virtuais rodando sob ESXi e mapear versões.
- Aplicar patch para 2.3.7.10-VA conforme janela de manutenção.
- Verificar se há contas criadas recentemente ou alterações de configuração anômalas antes e depois da correção.