Cisco corrige CVE-2026-20093 (CVSS 9.8), une faille critique dans l'IMC permettant à un attaquant non authentifié de prendre le contrôle admin des serveurs UCS. Correctifs disponibles, PoC public.
Cisco publie un correctif d'urgence pour une vulnérabilité critique affectant l'Integrated Management Controller (IMC) de ses serveurs UCS. Référencée CVE-2026-20093 avec un score CVSS de 9.8, cette faille permet à un attaquant non authentifié de contourner l'authentification et de prendre le contrôle administratif complet du système cible. Le correctif concerne également une seconde vulnérabilité dans le Smart Software Manager (SSM). Les entreprises utilisant des serveurs Cisco UCS en mode autonome doivent appliquer ces mises à jour sans délai, car un code d'exploitation proof-of-concept circule déjà dans les cercles de recherche en sécurité, rendant l'exploitation par des acteurs malveillants imminente et probable dans les jours à venir.
En bref
- CVE-2026-20093 (CVSS 9.8) : contournement d'authentification dans Cisco IMC permettant un accès admin distant
- Serveurs UCS C-Series M5/M6 et ENCS 5000 affectés — correctifs disponibles
- Appliquer immédiatement les mises à jour firmware IMC et restreindre l'accès réseau à l'interface de management
Les faits
Le 4 avril 2026, Cisco a publié deux avis de sécurité critiques concernant son Integrated Management Controller (IMC) et son Smart Software Manager (SSM). La vulnérabilité principale, CVE-2026-20093, réside dans le traitement incorrect des requêtes de changement de mot de passe au sein de l'interface web de l'IMC. Un attaquant distant non authentifié peut envoyer une requête HTTP spécialement construite pour contourner l'authentification, modifier le mot de passe de n'importe quel utilisateur — y compris l'administrateur — et obtenir un accès complet au système. La découverte est créditée au chercheur en sécurité « jyh », selon l'avis officiel de Cisco.
Les produits affectés incluent les serveurs UCS C-Series M5 et M6 en mode autonome, ainsi que les systèmes Enterprise Network Compute Systems (ENCS) série 5000. Cisco précise que les versions corrigées sont respectivement 4.3(2.260007), 4.3(6.260017) et 6.0(1.250174) pour les UCS, et 4.15.5 pour les ENCS. À ce stade, Cisco indique ne pas avoir observé d'exploitation active dans la nature, mais la disponibilité d'un PoC rend cette situation susceptible d'évoluer rapidement. Les équipes qui utilisent des infrastructures auditées régulièrement auront un avantage net pour identifier les systèmes exposés.
Impact et exposition
L'IMC est le contrôleur de gestion hors bande des serveurs Cisco UCS. Il permet la configuration BIOS, le monitoring matériel, la gestion des disques virtuels et l'accès console à distance. Un attaquant qui compromet l'IMC dispose d'un contrôle total sur le serveur physique, indépendamment du système d'exploitation installé. Cela inclut la capacité de modifier le firmware, d'injecter des implants persistants au niveau matériel et de pivoter vers d'autres systèmes du réseau de management. Les organisations qui exposent leur interface IMC sur un réseau accessible — même un VLAN de management mal segmenté — sont directement vulnérables. Ce type de faille rappelle les problématiques soulevées par les vulnérabilités critiques Fortinet récemment exploitées.
Recommandations
- Immédiat : appliquer les correctifs firmware Cisco IMC sur tous les serveurs UCS C-Series M5/M6 et ENCS 5000 concernés
- Urgent : vérifier que l'interface de management IMC n'est pas accessible depuis des réseaux non autorisés — restreindre via ACL réseau
- Moyen terme : auditer la segmentation réseau des interfaces de management hors bande (iLO, iDRAC, IMC) dans l'ensemble de l'infrastructure, conformément aux bonnes pratiques de pentest réseau
- Surveiller les logs d'accès IMC pour détecter des tentatives de changement de mot de passe non autorisées
Alerte critique
Avec un CVSS de 9.8 et un PoC public, cette vulnérabilité sera probablement exploitée dans les jours qui viennent. Les serveurs dont l'IMC est exposé sur le réseau doivent être patchés en priorité absolue ce week-end.
Comment vérifier si mon serveur Cisco UCS est vulnérable ?
Connectez-vous à l'interface web de l'IMC et vérifiez la version du firmware dans la section « Firmware Management ». Si la version est antérieure aux correctifs listés (4.3(2.260007) pour M5, 6.0(1.250174) pour M6, 4.15.5 pour ENCS 5000), votre serveur est vulnérable. En parallèle, vérifiez que l'accès à l'IMC est restreint à un VLAN de management dédié avec des ACL strictes.
Quels sont les risques si l'attaquant prend le contrôle de l'IMC ?
L'IMC opère au niveau matériel, indépendamment de l'OS. Un attaquant peut modifier le BIOS, injecter du firmware malveillant, accéder à la console serveur, monter des images ISO à distance et pivoter vers d'autres systèmes du réseau de management. C'est un accès persistant qui survit à la réinstallation de l'OS.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
React2Shell : 766 serveurs Next.js compromis, credentials volés
CVE-2025-55182 (CVSS 10.0) : 766 serveurs Next.js compromis via React2Shell. Vol automatisé de credentials cloud, clés API et secrets via le framework C2 NEXUS Listener.
Drift Protocol : hack à 285 M$ attribué à la Corée du Nord
Drift Protocol sur Solana perd 285 millions de dollars en 12 minutes. L'attaque par ingénierie sociale est attribuée au groupe nord-coréen UNC4736 après 6 mois de préparation.
NoVoice : un rootkit Android caché dans 50 apps du Play Store
Le rootkit Android NoVoice, caché dans plus de 50 apps du Play Store avec 2,3 millions de téléchargements, exploite 22 failles pour rooter les appareils et persister.
Commentaires (1)
Laisser un commentaire