Cisco IMC et SSM : deux failles critiques CVSS 9.8 corrigées

Les faits

Cisco a publié début avril 2026 des correctifs de sécurité pour deux vulnérabilités critiques affectant Cisco Integrated Management Controller (IMC) et Cisco Smart Software Manager On-Prem (SSM On-Prem). Les deux failles ont reçu le score CVSS maximal de 9.8 sur 10, les plaçant parmi les vulnérabilités les plus sévères divulguées en 2026. La première, CVE-2026-20093, est un contournement d'authentification dans Cisco IMC causé par une gestion incorrecte des requêtes de changement de mot de passe. Un attaquant distant non authentifié peut envoyer une requête HTTP forgée pour modifier le mot de passe de n'importe quel utilisateur du système, y compris le compte administrateur.

La seconde vulnérabilité, CVE-2026-20160, concerne Cisco SSM On-Prem et résulte de l'exposition involontaire d'un service interne. Un attaquant peut envoyer des requêtes spécialement forgées à l'API du service exposé pour exécuter des commandes sur le système d'exploitation sous-jacent avec des privilèges root. Selon Cisco et les analystes de sécurité, ces deux failles ne sont pas encore exploitées activement dans la nature, mais l'historique récent montre que les vulnérabilités Cisco critiques sont rapidement ciblées par les groupes d'attaquants après leur divulgation. L'agence de cybersécurité de Singapour (CSA) a également émis un bulletin d'alerte critique à ce sujet.

Impact et exposition

CVE-2026-20093 affecte les serveurs Cisco UCS série 5000 ENCS et les serveurs rack UCS série C M5 et M6 en mode autonome. La compromission d'un contrôleur IMC donne un accès complet à la gestion matérielle du serveur : redémarrage, modification du BIOS, montage d'images ISO, et contrôle total de l'infrastructure sous-jacente. CVE-2026-20160 touche les déploiements Cisco SSM On-Prem utilisés pour gérer les licences logicielles Cisco en environnement déconnecté. L'exécution de commandes root sur ce serveur permet à un attaquant de pivoter vers d'autres systèmes du réseau ou de manipuler les licences de l'infrastructure Cisco. Les organisations utilisant ces produits dans des réseaux accessibles depuis Internet ou des segments réseau peu segmentés sont particulièrement exposées. Le score CVSS de 9.8 reflète la facilité d'exploitation et l'absence de conditions préalables complexes.

Recommandations immédiates

• Mettre à jour Cisco IMC vers les versions corrigées : 4.15.5 (ENCS 5000), 4.3(2.260007), 4.3(6.260017) ou 6.0(1.250174) selon le modèle — Cisco Security Advisory cisco-sa-imc-auth-bypass-2026
• Mettre à jour Cisco SSM On-Prem vers la version 9-202601 — Cisco Security Advisory cisco-sa-ssm-rce-2026
• Restreindre l'accès réseau aux interfaces de gestion IMC et SSM On-Prem aux seules adresses IP autorisées
• Auditer les journaux d'accès des interfaces IMC et SSM pour détecter toute tentative de requête anormale
• Segmenter les réseaux de gestion (out-of-band management) pour limiter la surface d'attaque en cas de compromission