La faille du contrôleur de gestion intégré (IMC) donne aux attaquants un accès administrateur et un contrôle à distance sur les serveurs même lorsque le système d’exploitation principal est arrêté.
Cisco a publié des correctifs pour une vulnérabilité critique dans sa solution de gestion hors bande, présente dans nombre de ses serveurs et appliances. La faille permet à des attaquants distants non authentifiés d’obtenir un accès administrateur au contrôleur de gestion intégré Cisco (IMC), qui donne aux administrateurs un contrôle à distance sur les serveurs même lorsque le système d’exploitation principal est arrêté.
La vulnérabilité, identifiée comme CVE-2026-20093, provient d’une gestion incorrecte des modifications de mot de passe et peut être exploitée en envoyant des requêtes HTTP spécialement conçues. Cela signifie que les serveurs dont les interfaces IMC sont exposées directement au réseau local – ou pire, à Internet – courent un risque immédiat.
Le Cisco IMC est un contrôleur de gestion de carte mère (BMC), un contrôleur dédié intégré aux cartes mères de serveur avec sa propre RAM et sa propre interface réseau qui offre aux administrateurs des capacités de surveillance et de gestion comme s’ils étaient physiquement connectés au serveur avec un clavier, un moniteur et une souris (KVM). Étant donné que les BMC exécutent leur propre micrologiciel indépendamment du système d’exploitation, ils peuvent être utilisés pour effectuer des opérations même lorsque le système d’exploitation est arrêté, y compris pour le réinstaller.
L’IMC fournit une interface Web HTML5, une interface de ligne de commande basée sur SSH et une API XML. Il prend également en charge Redfish, une API RESTful standardisée pour les BMC et les KVM virtuels.
« Un exploit réussi pourrait permettre à l’attaquant de contourner l’authentification, de modifier les mots de passe de n’importe quel utilisateur du système, y compris un utilisateur administrateur, et d’accéder au système en tant qu’utilisateur », a déclaré Cisco dans son avis.
L’IMC est présent dans les systèmes informatiques de réseau d’entreprise de la série 5000, les uCPE Edge Catalyst 8300, les serveurs rack UCS C-Series M5 et M6 en mode autonome, les serveurs UCS E-Series M3 et les serveurs UCS E-Series M6. Cependant, une longue liste de produits et d’appliances Cisco basés sur la plate-forme Cisco Unified Computing System (UCS) C-Series sont également concernés si leur interface IMC est exposée.
Bien que Cisco n’ait actuellement connaissance d’aucune attaque malveillante exploitant cette vulnérabilité, des failles BMC dans des serveurs d’autres fabricants ont été exploitées dans le passé. En 2022, des chercheurs en sécurité ont découvert un implant malveillant baptisé iLOBleed, probablement développé par un groupe APT et déployé via des vulnérabilités dans le BMC HPE iLO (HPE’s Integrated Lights-Out). En 2018, un groupe de ransomwares appelé JungleSec a utilisé les informations d’identification par défaut des interfaces IPMI pour compromettre les serveurs Linux.
Le risque d’attaques contre de telles interfaces de gestion est suffisamment grave pour que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et la National Security Agency (NSA) aient publié des lignes directrices sur le renforcement du BMC en 2023.
Plus récemment, des chercheurs ont également mis en garde contre les vulnérabilités des appareils KVM sur IP bon marché que certaines organisations ou administrateurs utilisent comme alternatives pour gérer des systèmes ne disposant pas de contrôleurs BMC dédiés.
