Cisco publie des correctifs urgents pour deux failles CVSS 9.8 dans IMC et SSM On-Prem. CVE-2026-20093 permet la prise de contrôle admin sans authentification, CVE-2026-20160 offre une exécution root à distance.
En bref
- Cisco publie des correctifs pour deux vulnérabilités critiques CVSS 9.8 dans IMC et SSM On-Prem
- CVE-2026-20093 permet de réinitialiser les mots de passe administrateurs à distance sans authentification
- CVE-2026-20160 expose un service interne permettant l'exécution de commandes root sur SSM On-Prem
Les faits
Cisco a publié le 2 avril 2026 des correctifs de sécurité pour deux vulnérabilités critiques affectant ses produits Integrated Management Controller (IMC) et Smart Software Manager On-Prem (SSM On-Prem). Les deux failles ont reçu un score CVSS de 9.8 sur 10, plaçant leur criticité au niveau maximal. La divulgation a été rapportée simultanément par The Hacker News, BleepingComputer et SecurityWeek, soulignant la gravité de la situation pour les infrastructures d'entreprise qui dépendent de ces composants Cisco.
La première vulnérabilité, CVE-2026-20093, réside dans le traitement incorrect des requêtes de changement de mot de passe au sein de l'interface web d'IMC. Un attaquant non authentifié peut envoyer une requête HTTP spécialement construite pour contourner l'authentification et modifier le mot de passe de n'importe quel utilisateur, y compris les comptes administrateurs. La seconde faille, CVE-2026-20160, affecte SSM On-Prem et provient de l'exposition non intentionnelle d'un service interne dont l'API permet l'exécution de commandes avec des privilèges root. Les produits affectés incluent les séries ENCS 5000, UCS C-Series M5 et M6, ainsi que SSM On-Prem. Les correctifs sont disponibles dans les versions IMC 4.15.5, 4.3(2.260007), 4.3(6.260017), 6.0(1.250174) et SSM On-Prem 9-202601.
Impact et exposition
Ces vulnérabilités concernent directement les organisations utilisant l'infrastructure Cisco pour la gestion de serveurs rack et la distribution de licences logicielles. La faille IMC est particulièrement dangereuse car elle offre un accès administrateur complet sans aucune authentification préalable, ce qui signifie qu'un attaquant ayant accès au réseau de gestion peut prendre le contrôle total du serveur. Côté SSM, l'exécution de commandes root ouvre la porte à une compromission complète du système de gestion des licences, potentiellement utilisable comme pivot pour atteindre d'autres segments du réseau. À ce jour, Cisco n'a pas signalé d'exploitation active dans la nature, mais la disponibilité de PoC publics rend l'exploitation imminente.
Recommandations
- Appliquer immédiatement les correctifs Cisco pour IMC et SSM On-Prem — les versions patchées sont déjà disponibles
- Restreindre l'accès aux interfaces de gestion IMC et SSM aux seuls réseaux d'administration isolés
- Auditer les journaux d'accès aux interfaces web IMC pour détecter toute requête de changement de mot de passe suspecte
- Vérifier que les services SSM On-Prem ne sont pas exposés sur des interfaces réseau accessibles depuis l'extérieur
Alerte critique
Avec un score CVSS de 9.8 et l'existence de PoC publics, ces failles seront exploitées rapidement. Les organisations qui exposent leurs interfaces IMC ou SSM sur des réseaux non segmentés sont particulièrement à risque. Le patching doit être traité en priorité P0.
Comment vérifier si mes serveurs Cisco sont vulnérables à CVE-2026-20093 ?
Connectez-vous à l'interface IMC de vos serveurs UCS C-Series ou ENCS 5000 et vérifiez la version du firmware dans System Information. Si la version est antérieure à 4.15.5 (ENCS 5000) ou 4.3(2.260007) / 4.3(6.260017) / 6.0(1.250174) (UCS C-Series), votre système est vulnérable. Vous pouvez également utiliser Cisco PSIRT openVuln API pour automatiser la vérification sur l'ensemble de votre parc.
Quelles mesures de contournement appliquer si le patch ne peut pas être déployé immédiatement ?
En attendant le déploiement des correctifs, isolez strictement les interfaces de gestion IMC et SSM sur un VLAN dédié avec des ACL restrictives. Désactivez l'accès HTTPS sur les interfaces non essentielles et activez la journalisation complète des accès à l'interface web. Pour SSM On-Prem, vérifiez que le service exposé n'est pas accessible depuis des segments réseau non autorisés.
Cette double correction s'ajoute à une série de patchs critiques publiés par Cisco ces dernières semaines, incluant les correctifs pour le zero-day SD-WAN CVE-2026-20127 et la faille FMC exploitée par Interlock. Les administrateurs Cisco font face à un cycle de patching particulièrement intense ce trimestre, ce qui renforce la nécessité d'une stratégie de gestion des vulnérabilités robuste et priorisée. L'utilisation d'outils de détection et d'analyse reste également recommandée pour surveiller les tentatives d'exploitation.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
HPE AOS-CX : une faille CVSS 9.8 permet le reset des mots de passe admin
HPE publie un correctif pour CVE-2026-23813, une faille CVSS 9.8 dans AOS-CX permettant à un attaquant non authentifié de réinitialiser les mots de passe admin des switches Aruba.
766 serveurs Next.js compromis : vol massif de credentials via NEXUS Listener
Au moins 766 serveurs Next.js ont été compromis via React2Shell (CVE-2025-55182). Les attaquants utilisent le panneau C2 NEXUS Listener pour centraliser les credentials volés depuis les fichiers .env.
Le FBI alerte sur les risques des applications mobiles chinoises
Le FBI déconseille l'utilisation d'applications mobiles chinoises comme TikTok, Temu ou DeepSeek, citant les lois de sécurité nationale permettant l'accès aux données.
Commentaires (1)
Laisser un commentaire