Уязвимость в Cisco IMC: злоумышленники могут менять пароли пользователей (CVE-2026-20093)

Cisco устранила десять уязвимостей в своём встроенном контроллере управления (IMC), наиболее критичная из которых (CVE-2026-20093) позволяет неаутентифицированному удалённому злоумышленнику обойти проверку подлинности и получить доступ к системе с правами Администратора.

Контроллер управления Cisco переполнен уязвимостями

Встроенный контроллер управления Cisco — это аппаратная система управления, интегрированная в серверы компании.

Он позволяет администраторам удалённо контролировать, отслеживать и устранять неполадки на сервере, даже если операционная система не запущена. (Это возможно потому, что Cisco IMC работает на базе встроенного контроллера управления материнской платой, который имеет собственную прошивку и отдельный IP-адрес.)

Девять из десяти уязвимостей затрагивают веб-интерфейс управления IMC:

• CVE-2026-20085 и CVE-2026-20087 — CVE-2026-20090 представляют собой уязвимости межсайтового скриптинга (XSS), вызванные недостаточной проверкой пользовательского ввода. Они могут привести к раскрытию конфиденциальной информации или выполнению произвольного кода в браузере целевого пользователя, однако для большинства из них требуется предварительная аутентификация и обман пользователя с целью перехода по специально созданной ссылке.
• CVE-2026-20094 — CVE-2026-20097 позволяют аутентифицированному удалённому злоумышленнику выполнять произвольный код или команды в базовой операционной системе уязвимой системы и повысить свои привилегии до уровня root.
• CVE-2026-20093 возникает из-за некорректной обработки запросов на смену пароля. «Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос на уязвимое устройство. Успешная эксплуатация позволяет обойти аутентификацию, изменить пароль любого пользователя в системе, включая администратора, и получить доступ к системе от его имени», — предупреждает бюллетень Cisco.

Эти уязвимости затрагивают различные серии серверов Cisco UCS, платформы для виртуализации филиалов и гибридные маршрутизаторы-серверы.

Поскольку многие устройства Cisco основаны на предварительно настроенной версии одного из серверов Cisco UCS C-Series, они также подвержены данным уязвимостям, если предоставляют доступ к пользовательскому интерфейсу Cisco IMC.

Список таких устройств обширен и включает серверы контроллера политик приложений (APIC), устройства Cyber Vision Center, центры управления Secure Firewall, устройства анализа вредоносного ПО и многие другие.

Что делать?

Ни одна из обнаруженных уязвимостей в настоящее время не используется злоумышленниками — все они были выявлены и сообщены исследователями в области безопасности. Тем не менее, установка предоставленных обновлений безопасности обязательна, так как временные обходные решения недоступны.

Защита интерфейса управления IMC от доступа злонамеренных лиц, вероятно, снизит риск его использования. «Рекомендуется не делать такой интерфейс общедоступным, а размещать его в отдельной управляющей среде», — отметил Национальный центр кибербезопасности Нидерландов.

Энсар Шекер, директор по информационной безопасности компании SOCRadar, занимающейся киберразведкой, сообщил, что наиболее тревожным аспектом уязвимости CVE-2026-20093 является то, что она нацелена на встроенный контроллер управления (IMC), который функционирует ниже уровня операционной системы и обеспечивает постоянный автономный доступ к серверу.

«Обход аутентификации на этом уровне фактически предоставляет злоумышленникам полный административный контроль над самим оборудованием. Это означает, что традиционные средства защиты, системы обнаружения угроз (EDR, SIEM) и даже усиленная защита на уровне ОС в значительной степени теряют эффективность после успешной эксплуатации уязвимости. В реальных условиях интерфейсы IMC иногда случайно оказываются доступны из интернета или недостаточно изолированы в сети, что превращает CVE-2026-20093 в точку входа с высоким потенциалом ущерба и низкими требованиями к усилиям злоумышленника для полного компрометирования инфраструктуры», — добавил он.

«С точки зрения защиты, организациям следует рассматривать автономные интерфейсы управления как активы нулевого уровня критичности. Немедленное исправление критически важно, но не менее важно обеспечить, чтобы эти интерфейсы никогда не были общедоступны, применялась строгая сегментация сети и контролировался доступ, например, только через VPN или в рамках модели нулевого доверия.»

Десятая уязвимость, устранённая в этом пакете обновлений для IMC — CVE-2025-20261, позволяющая повысить привилегии через обработку SSH-подключений в IMC — также может быть нейтрализована путём отключения доступа по SSH.

Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!