Cisco выпустила патчи для критической уязвимости в контроллере Cisco IMC, позволяющей удаленным злоумышленникам без аутентификации получить права администратора и полный контроль над серверами, даже если ОС выключена. — csoonline.com
Cisco выпустила исправления для критической уязвимости в своем решении для внеполосного управления, присутствующем во многих ее серверах и аппаратных устройствах. Эта уязвимость позволяет удаленным злоумышленникам без аутентификации получить права администратора в Cisco Integrated Management Controller (IMC), который предоставляет администраторам удаленный контроль над серверами даже при выключенной основной операционной системе.
Уязвимость, отслеживаемая как CVE-2026-20093, вызвана некорректной обработкой смены паролей и может быть использована путем отправки специально сформированных HTTP-запросов. Это означает, что серверы, чьи интерфейсы IMC напрямую доступны в локальной сети — или, что еще хуже, в интернете — немедленно подвергаются риску.
Cisco IMC — это контроллер управления базовой платой (BMC), выделенный контроллер, встроенный в материнские платы серверов и имеющий собственную оперативную память и сетевой интерфейс, который предоставляет администраторам возможности мониторинга и управления, как если бы они были физически подключены к серверу с клавиатурой, монитором и мышью (KVM). Поскольку BMC работают на собственной прошивке независимо от ОС, их можно использовать для выполнения операций даже при выключенной ОС, включая ее переустановку.
IMC предоставляет веб-интерфейс HTML5, интерфейс командной строки на основе SSH и XML API. Он также поддерживает Redfish — стандартизированный RESTful API для BMC и виртуального KVM.
«Успешная эксплуатация может позволить злоумышленнику обойти аутентификацию, изменить пароли любого пользователя в системе, включая пользователя Admin, и получить доступ к системе от имени этого пользователя», — заявила Cisco в своем уведомлении о безопасности.
IMC присутствует в системах 5000 Series Enterprise Network Compute Systems, шасси Catalyst 8300 Series Edge uCPE, стоечных серверах UCS C-Series M5 и M6 в автономном режиме, серверах UCS E-Series M3 и UCS E-Series Servers M6. Однако затронут также длинный список продуктов и устройств Cisco, основанных на платформе Cisco Unified Computing System (UCS) C-Series, если их интерфейс IMC открыт.
Хотя Cisco в настоящее время не осведомлена о каких-либо вредоносных атаках, использующих эту уязвимость, уязвимости BMC в серверах других производителей эксплуатировались в прошлом. В 2022 году исследователи безопасности обнаружили вредоносный имплант под кодовым названием iLOBleed, вероятно, разработанный APT-группой и развертываемый через уязвимости в BMC HPE iLO (HPE’s Integrated Lights-Out). В 2018 году группа программ-вымогателей под названием JungleSec использовала учетные данные по умолчанию для интерфейсов IPMI для компрометации серверов Linux.
Риск атак на такие интерфейсы управления достаточно серьезен, чтобы Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и Агентство национальной безопасности (NSA) опубликовали руководство по усилению защиты BMC еще в 2023 году.
Недавно исследователи также предупредили об уязвимостях в дешевых KVM-over-IP устройствах, которые некоторые организации или администраторы используют в качестве альтернативы для управления системами, не имеющими выделенных контроллеров BMC.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin