統合管理コントローラ(IMC)の脆弱性により、攻撃者はメインOSがシャットダウンされている場合でも、サーバーへの管理者アクセスとリモートコントロールを取得できます。
Ciscoは、多くのサーバーおよびアプライアンスに存在する帯域外管理ソリューションの重大な脆弱性に対するパッチをリリースしました。このフローにより、認証されていないリモート攻撃者がCisco統合管理コントローラ(IMC)への管理者アクセスを取得でき、メインOSがシャットダウンされている場合でもサーバーのリモートコントロールが可能になります。
CVE-2026-20093として追跡されているこの脆弱性は、パスワード変更の不適切な処理に由来し、特別に作成されたHTTPリクエストを送信することで悪用される可能性があります。これは、IMCインターフェースがローカルネットワークに直接公開されているサーバー、さらに悪い場合はインターネットに公開されているサーバーが、即座のリスクにさらされていることを意味します。
Cisco IMCはベースボード管理コントローラ(BMC)であり、サーバーマザーボードに組み込まれた専用コントローラで、独自のRAMとネットワークインターフェースを備えており、管理者にキーボード、モニター、マウス(KVM)を使用して物理的に接続されているかのようなサーバーの監視および管理機能を提供します。BMCはOSから独立して独自のファームウェアを実行するため、OSがシャットダウンされている場合でも、OSの再インストールを含む操作を実行するために使用できます。
IMCはHTML5ウェブインターフェース、SSHベースのコマンドラインインターフェース、およびXML APIを提供しています。Redfish、BMCおよび仮想KVM向けの標準化されたRESTful APIもサポートしています。
「攻撃が成功した場合、攻撃者は認証をバイパスし、管理者ユーザーを含むシステム上のいかなるユーザーのパスワードも変更でき、そのユーザーとしてシステムにアクセスできる可能性があります」とCiscoは勧告の中で述べています。
IMCは5000シリーズエンタープライズネットワークコンピュートシステム、Catalyst 8300シリーズエッジuCPE、スタンドアロンモードのUCS C-Series M5およびM6ラックサーバー、UCS E-Series Servers M3、およびUCS E-Series Servers M6に存在しています。ただし、IMCインターフェースが公開されている場合、Cisco Unified Computing System(UCS)C-Series プラットフォームに基づく多くのCisco製品およびアプライアンスも影響を受けます。
Ciscoは現在、この脆弱性を悪用した悪意のある攻撃の報告を認識していませんが、他のメーカーのサーバーのBMC脆弱性は過去に悪用されています。2022年、セキュリティ研究者はiLOBleedという悪意あるマルウェアが発見され、APTグループによって開発された可能性があり、HPE iLO(HPEの統合ライトアウト)BMCの脆弱性を通じてデプロイされていました。2018年、JungleSec というランサムウェアグループがIPMIインターフェースのデフォルト認証情報を使用してLinuxサーバーを侵害しました。
このような管理インターフェースに対する攻撃のリスクは深刻なため、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と国家安全保障局(NSA)は2023年にBMCの強化に関するガイダンスを発行しました。
より最近では、研究者は専用BMCコントローラを持たないシステムの管理の代替手段として使用する組織または管理者が使用する廉価なKVM-over-IPデバイスの脆弱性についても警告しています。
