В сфере корпоративной информационной безопасности вновь зафиксирован тревожный инцидент, затрагивающий ключевую инфраструктуру компаний по всему миру. Компания Cisco выпустила экстренное уведомление о безопасности, касающееся критической уязвимости в своём программном обеспечении Integrated Management Controller (IMC), системе удалённого управления серверами. Обнаруженная проблема, получившая идентификатор CVE-2026-20093, оценивается максимально высоким баллом 9.8 по шкале CVSS и позволяет неавторизованным злоумышленникам полностью захватить контроль над уязвимыми устройствами. Это событие особенно значимо для системных администраторов, ИБ-специалистов и компаний, чья ИТ-инфраструктура построена на решениях Cisco, поскольку речь идёт о фундаментальном сбое в механизме аутентификации.
Уязвимость CVE-2026-20093
Суть уязвимости заключается в ошибке обработки запросов на смену пароля в интерфейсе управления IMC. Злоумышленник, не проходя проверку подлинности, может отправить специально сформированный HTTP-запрос на уязвимое устройство. В случае успешной эксплуатации это позволяет удалённо изменить пароль любого пользователя системы, включая учётные записи с правами администратора. Поскольку контроллер IMC предназначен для аут-оф-бэнд управления (внеполосного управления, осуществляемого независимо от основной операционной системы сервера), компрометация этого компонента предоставляет злоумышленнику глубокий несанкционированный доступ в чувствительные сегменты корпоративной сети. Обнаружил опасный недостаток независимый исследователь под псевдонимом "jyh", который ответственно сообщил о нём в группу реагирования на инциденты безопасности Cisco (PSIRT). К счастью, на данный момент не известно об активных атаках или публичных эксплойтах, использующих эту уязвимость.
Под угрозой оказывается широкий спектр аппаратного обеспечения Cisco. В первую очередь, это касается серверных линеек, использующих уязвимые версии ПО IMC, независимо от их конкретной конфигурации. В перечень критически важных устройств входят системы серии 5000 Enterprise Network Compute Systems (ENCS) и платформы Catalyst 8300 Series Edge uCPE. Кроме того, серьёзно затронуты автономные стоечные серверы UCS C-Series поколений M5 и M6, а также модели серверов UCS E-Series M3 и M6. Однако опасность не ограничивается лишь серверами. Многие предварительно сконфигурированные сетевые устройства Cisco также остаются уязвимыми, если их интерфейс управления IMC доступен из сети. В число таких высокозначимых устройств входят серверы Application Policy Infrastructure Controller (APIC), устройства Catalyst Center, панели управления Secure Firewall Management Center и устройства Secure Network Analytics.
Особую остроту ситуации придаёт тот факт, что, согласно официальному заявлению Cisco, для данной уязвимости не существует никаких временных обходных путей или сетевых методов смягчения последствий. Это означает, что традиционные меры вроде изменения правил межсетевого экрана или сегментации сети не способны заблокировать саму возможность атаки. Единственным эффективным способом устранения риска является срочное обновление прошивки до исправленных версий, подробно указанных в рекомендациях Cisco. Процедура обновления варьируется в зависимости от типа оборудования: для одних устройств применяется автоматизированный процесс NFVIS, для других - утилита Cisco Host Upgrade Utility (HUU), а для третьих требуются специализированные процедуры внеполосного обновления.
Данный инцидент наглядно демонстрирует, насколько критичными могут быть уязвимости в компонентах базового управления инфраструктурой. Контроллеры вроде IMC, Hypervisor или IPMI часто остаются в "слепой зоне" при аудитах безопасности, поскольку их работа считается фоновой. Однако именно они, обладая высочайшими привилегиями, становятся лакомой целью для злоумышленников, стремящихся к закреплению в системе (persistence) и горизонтальному перемещению по сети. Успешная атака с использованием CVE-2026-20093 может привести к полной компрометации сервера, остановке критических бизнес-процессов, утечке конфиденциальных данных и предоставлению плацдарма для более масштабных киберопераций внутри сети организации. В свою очередь, компаниям, использующим затронутое оборудование, необходимо немедленно инициировать процесс инвентаризации и планирования обновлений, отдавая приоритет устройствам, доступным из интернета или из менее доверенных сегментов внутренней сети.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20093
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-auth-bypass-AgG2BxTn
