В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая систему удалённого управления серверами Cisco. Уязвимость, получившая идентификаторы BDU:2026-04536 и CVE-2026-20093, обнаружена в Cisco Integrated Management Controller (IMC). Соответственно, данный контроллер представляет собой встроенное решение для мониторинга и администрирования серверного оборудования. Эксплуатация этой уязвимости позволяет злоумышленнику полностью захватить контроль над системой.
Детали уязвимости
Проблема кроется в функции смены пароля веб-интерфейса управления. Конкретно, разработчики допустили недостаточную проверку вводимых пользователем данных (CWE-20). В результате, удалённый атакующий может отправить специально сформированный HTTP-запрос. Этот запрос обходит стандартные механизмы аутентификации и авторизации. Следовательно, злоумышленник получает возможность повысить свои привилегии в системе до уровня администратора. После этого он способен выполнять любые действия на устройстве.
Уязвимость имеет максимально высокий уровень опасности. Базовый балл по шкале CVSS 3.1 составляет 9.8 из 10.0. Такая оценка присвоена по причине того, что для атаки не требуются ни предварительные привилегии в системе (PR:N), ни взаимодействие с пользователем (UI:N). Уязвимость является сетевой (AV:N) и имеет низкую сложность эксплуатации (AC:L). Таким образом, потенциальное воздействие на конфиденциальность, целостность и доступность данных оценивается как полное (C:H/I:H/A:H).
Под угрозой находятся многочисленные версии Cisco IMC. В частности, уязвимыми являются версии до 4.3(2.260007), до 4.3(6.260017), до 3.2.17, до 4.15.3, а также версия 4.2. Кроме того, проблема затрагивает платформу виртуализации Cisco Enterprise NFV Infrastructure Software (NFVIS) версий до 4.15.5 и версию 4.16. Также уязвима версия Cisco IMC до 6.0(1.250174). Производитель уже подтвердил наличие проблемы и выпустил соответствующие обновления безопасности.
На текущий момент эксперты уточняют информацию о существовании публичного эксплойта. Однако критический характер уязвимости и простота её эксплуатации предполагают высокий интерес со стороны киберпреступников. Производитель рекомендует в качестве основного способа устранения уязвимости немедленно обновить программное обеспечение. Актуальные исправления опубликованы в официальном бюллетене безопасности Cisco. При этом в рекомендациях BDU содержится важное замечание. В связи с международными санкциями российским организациям следует устанавливать обновления только после тщательной оценки всех сопутствующих рисков.
Тем временем, специалисты по кибербезопасности предлагают ряд компенсирующих мер для организаций, которые не могут быстро обновиться. Во-первых, эффективным решением может стать применение межсетевого экрана уровня веб-приложений (WAF). Этот инструмент способен фильтровать вредоносные HTTP-запросы, которые используются для эксплуатации уязвимости. Во-вторых, необходимо строгое сегментирование корпоративной сети. Оно позволит изолировать системы управления и ограничить доступ к ним из других сегментов. Кроме того, крайне важно ограничить доступ к интерфейсам Cisco IMC по принципу "белого списка". Другими словами, соединяться с ними должны только доверенные IP-адреса. Также рекомендуется использовать системы класса SIEM для мониторинга сетевой активности и обнаружения аномальных попыток доступа. Стандартные практики минимизации привилегий и отключения неиспользуемых учётных записей также снижают потенциальный ущерб. Наконец, критически важные системы управления не должны быть доступны напрямую из интернета.
Данная уязвимость подчёркивает сохраняющуюся актуальность классических ошибок программирования. Недостаточная проверка входных данных остаётся одной из самых распространённых и опасных проблем. Поэтому инцидент служит напоминанием для всех разработчиков. Необходимо внедрять безопасные практики кодирования на всех этапах создания программного обеспечения. В противном случае даже одна небольшая ошибка может поставить под угрозу всю инфраструктуру организации.
В заключение, уязвимость в Cisco IMC требует безотлагательного внимания со стороны системных администраторов и отделов информационной безопасности. Критический рейтинг и простота эксплуатации делают её приоритетной для устранения. Своевременное обновление или реализация комплексных компенсирующих мер являются единственным способом защититься от потенциальных атак.
Ссылки
- https://bdu.fstec.ru/vul/2026-04536
- https://www.cve.org/CVERecord?id=CVE-2026-20093
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-auth-bypass-AgG2BxTn
