Ciscoは、Integrated Management Controller(IMC)ソフトウェアにおける重大な認証回避脆弱性の詳細を記載した緊急セキュリティ勧告を公開し、サーバーインフラストラクチャに対する深刻なリスクを企業管理者に警告しています。
CVE-2026-20093として追跡されているこの脆弱性は、CVSS 3.1のベーススコアで10点中9.8という最大の影響度を持ち、最近数ヶ月間にCiscoが公開した脆弱性の中でも最も深刻なものの一つです。
根本的な原因は、IMCのパスワード変更機能にあり、ユーザーのパスワード変更リクエストを適切に処理および検証できないという重大な欠陥があり、システム全体の侵害への扉を開いています。
認証されていないリモート攻撃者は、脆弱なデバイスの管理インターフェースに特別に細工されたHTTPリクエストを直接送信することで、この弱点を悪用できます。
攻撃が成功すると、攻撃者はトップレベルの管理者アカウントを含む既存のシステムユーザーの認証情報をサイレントに上書きし、影響を受けたハードウェアに対して無制限の管理制御を獲得できます。
Cisco IMCはアウトオブバンド管理コントローラーとして機能し、ホストオペレーティングシステムから独立して動作するため、攻撃に成功すると、ホストOSの再起動やイメージング後も生き残ることができる永続的なアクセスを攻撃者に与えます。
Ciscoは、本稿の執筆時点で、CVE-2026-20093をターゲットとした既知の公開エクスプロイトや実際の攻撃キャンペーンはないことを確認しています。
この脆弱性は、デバイスの構成や導入モードに関係なく、脆弱なIMCソフトウェアバージョンを実行する幅広いエンタープライズグレードのCiscoハードウェアに影響を与えます。
スタンドアロンサーバーを超えて、IMCユーザーインターフェースを公開する多くの事前設定されたCiscoネットワークアプライアンスもリスクにさらされています。
これには、Application Policy Infrastructure Controller(APIC)サーバー、Catalyst Centerアプライアンス、Secure Firewall Management Centerアプライアンス、およびSecure Network Analyticsアプライアンスが含まれ、すべてエンタープライズおよびデータセンター環境全体に広く展開されています。
Ciscoは、CVE-2026-20093に対する回避策または一時的なネットワーク軽減策は存在しないことを明示的に述べています。
完全な修復への唯一の方法は、公式のCiscoセキュリティ勧告に記載されているパッチ済みソフトウェアリリースへのアップグレードです。
使用しているハードウェアによっては、管理者は自動NFVIS アップグレードプロセス、Cisco Hst Upgrade Utility(HUU)、または専門的なアウトオブバンドアップデート手順を介して修正プログラムを適用する必要があります。
重大度の高い評価と軽減策の完全な欠如を考慮すると、セキュリティチームはすべてのIMC公開デバイスを監査し、ベンダー発行のパッチを遅延なく適用することを強く促されています。
翻訳元: https://cyberpress.org/cisco-integrated-management-controller-flaw/