Kritiek lek in Cisco IMC: Update direct
Cisco heeft op 1 april 2026 een dringende beveiligingswaarschuwing afgegeven voor een kritiek lek in de Cisco Integrated Management Controller (IMC). De kwetsbaarheid stelt aanvallers in staat om zonder inloggegevens de volledige controle over servers en netwerkapparatuur over te nemen. Met een zeldzame maximale score van 9.8 op de CVSS-schaal, wordt het lek geclassificeerd als uiterst urgent.
De kern van het probleem: Authenticatie-bypass
Het lek, geregistreerd onder CVE-2026-20093, bevindt zich in de functie waarmee gebruikers hun wachtwoord kunnen wijzigen. Door een fout in de manier waarop de IMC-software omgaat met deze specifieke HTTP-verzoeken, kan een ongeautoriseerde aanvaller op afstand een kwaadaardig verzoek sturen.
Het resultaat is destructief: de aanval omzeilt de normale beveiligingscontroles, waardoor de aanaller de wachtwoorden van elke gebruiker op het systeem kan aanpassen – inclusief die van de beheerder (Admin). Hierdoor krijgt de aanvaller volledige toegang tot de hardwarebeheer-interface.
Brede impact op Cisco-portfolio
De Cisco IMC is een cruciaal onderdeel voor het 'out-of-band' beheer van hardware. Omdat veel gespecialiseerde Cisco-apparaten draaien op onderliggende UCS-servers, is de lijst met getroffen producten enorm. Onder de kwetsbare apparaten vallen onder andere:
- UCS C-Serie en E-Serie Servers: De ruggengraat van veel datacenters.
- Netwerkcompute-systemen: Zoals de 5000 Series ENCS en Catalyst 8300 Edge uCPE.
- Gespecialiseerde appliances: Waaronder HyperFlex-nodes, Nexus Dashboard, Secure Firewall Management Centers en Catalyst Center (voorheen DNA Center).
Cisco benadrukt dat het lek onafhankelijk is van de apparaatconfiguratie; zodra de kwetsbare softwareversie draait, is het apparaat in theorie vatbaar voor aanval.
Geen tijdelijke oplossingen beschikbaar
Wat deze situatie extra precair maakt voor systeembeheerders, is het ontbreken van workarounds. Er zijn geen instellingen of configuratiewijzigingen die het risico kunnen beperken zonder de software daadwerkelijk te updaten.
Cisco heeft inmiddels voor alle getroffen productlijnen herstelde softwareversies beschikbaar gesteld. Beheerders worden dringend geadviseerd om hun systemen direct te controleren en de beschikbare patches te installeren. Voor specifieke appliances, zoals de Secure Network Analytics of de Telemetry Broker, moeten vaak specifieke firmware-patches of Hotfixes worden toegepast.
Geen misbruik bekend
Ondanks de ernst van de situatie meldt het Cisco Product Security Incident Response Team (PSIRT) dat er op dit moment nog geen meldingen zijn van actief misbruik in de praktijk. De kwetsbaarheid werd op verantwoorde wijze gerapporteerd door beveiligingsonderzoeker jyh.
Beheerders kunnen voor gedetailleerde upgrade-instructies terecht bij de officiële Cisco Security Advisory.
Belangrijkste feiten op een rij:
- ID: cisco-sa-cimc-auth-bypass-AgG2BxTn
- CVSS Score: 9.8 (Kritiek)
- Gevaar: Remote Admin-toegang via gemanipuleerde HTTP-verzoeken.
- Oplossing: Onmiddellijk upgraden naar vaste softwareversies (bijv. 4.3 of 6.0 afhankelijk van het platform).
Meer over Security
Over Witold Kepinski
