Cisco publie un correctif d'urgence pour une vulnérabilité critique affectant l'Integrated Management Controller (IMC) de ses serveurs UCS. Référencée CVE-2026-20093 avec un score CVSS de 9.8, cette faille permet à un attaquant non authentifié de contourner l'authentification et de prendre le contrôle administratif complet du système cible. Le correctif concerne également une seconde vulnérabilité dans le Smart Software Manager (SSM). Les entreprises utilisant des serveurs Cisco UCS en mode autonome doivent appliquer ces mises à jour sans délai, car un code d'exploitation proof-of-concept circule déjà dans les cercles de recherche en sécurité, rendant l'exploitation par des acteurs malveillants imminente et probable dans les jours à venir.

En bref

  • CVE-2026-20093 (CVSS 9.8) : contournement d'authentification dans Cisco IMC permettant un accès admin distant
  • Serveurs UCS C-Series M5/M6 et ENCS 5000 affectés — correctifs disponibles
  • Appliquer immédiatement les mises à jour firmware IMC et restreindre l'accès réseau à l'interface de management

Les faits

Le 4 avril 2026, Cisco a publié deux avis de sécurité critiques concernant son Integrated Management Controller (IMC) et son Smart Software Manager (SSM). La vulnérabilité principale, CVE-2026-20093, réside dans le traitement incorrect des requêtes de changement de mot de passe au sein de l'interface web de l'IMC. Un attaquant distant non authentifié peut envoyer une requête HTTP spécialement construite pour contourner l'authentification, modifier le mot de passe de n'importe quel utilisateur — y compris l'administrateur — et obtenir un accès complet au système. La découverte est créditée au chercheur en sécurité « jyh », selon l'avis officiel de Cisco.

Les produits affectés incluent les serveurs UCS C-Series M5 et M6 en mode autonome, ainsi que les systèmes Enterprise Network Compute Systems (ENCS) série 5000. Cisco précise que les versions corrigées sont respectivement 4.3(2.260007), 4.3(6.260017) et 6.0(1.250174) pour les UCS, et 4.15.5 pour les ENCS. À ce stade, Cisco indique ne pas avoir observé d'exploitation active dans la nature, mais la disponibilité d'un PoC rend cette situation susceptible d'évoluer rapidement. Les équipes qui utilisent des infrastructures auditées régulièrement auront un avantage net pour identifier les systèmes exposés.

Impact et exposition

L'IMC est le contrôleur de gestion hors bande des serveurs Cisco UCS. Il permet la configuration BIOS, le monitoring matériel, la gestion des disques virtuels et l'accès console à distance. Un attaquant qui compromet l'IMC dispose d'un contrôle total sur le serveur physique, indépendamment du système d'exploitation installé. Cela inclut la capacité de modifier le firmware, d'injecter des implants persistants au niveau matériel et de pivoter vers d'autres systèmes du réseau de management. Les organisations qui exposent leur interface IMC sur un réseau accessible — même un VLAN de management mal segmenté — sont directement vulnérables. Ce type de faille rappelle les problématiques soulevées par les vulnérabilités critiques Fortinet récemment exploitées.

Recommandations

  • Immédiat : appliquer les correctifs firmware Cisco IMC sur tous les serveurs UCS C-Series M5/M6 et ENCS 5000 concernés
  • Urgent : vérifier que l'interface de management IMC n'est pas accessible depuis des réseaux non autorisés — restreindre via ACL réseau
  • Moyen terme : auditer la segmentation réseau des interfaces de management hors bande (iLO, iDRAC, IMC) dans l'ensemble de l'infrastructure, conformément aux bonnes pratiques de pentest réseau
  • Surveiller les logs d'accès IMC pour détecter des tentatives de changement de mot de passe non autorisées

Alerte critique

Avec un CVSS de 9.8 et un PoC public, cette vulnérabilité sera probablement exploitée dans les jours qui viennent. Les serveurs dont l'IMC est exposé sur le réseau doivent être patchés en priorité absolue ce week-end.

Comment vérifier si mon serveur Cisco UCS est vulnérable ?

Connectez-vous à l'interface web de l'IMC et vérifiez la version du firmware dans la section « Firmware Management ». Si la version est antérieure aux correctifs listés (4.3(2.260007) pour M5, 6.0(1.250174) pour M6, 4.15.5 pour ENCS 5000), votre serveur est vulnérable. En parallèle, vérifiez que l'accès à l'IMC est restreint à un VLAN de management dédié avec des ACL strictes.

Quels sont les risques si l'attaquant prend le contrôle de l'IMC ?

L'IMC opère au niveau matériel, indépendamment de l'OS. Un attaquant peut modifier le BIOS, injecter du firmware malveillant, accéder à la console serveur, monter des images ISO à distance et pivoter vers d'autres systèmes du réseau de management. C'est un accès persistant qui survit à la réinstallation de l'OS.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit