Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La bug di sicurezza s Cisco IMC CVE-2026-20093 permette ad un attaccante malintenzionato di ottenere accesso amministrativo attraverso una richiesta HTTP malevola. Il bug nasce nella gestione del cambio delle password e permette di modificare le credenziali di qualsiasi utente, inclusi gli amministratori di sistema. Cisco ha rilasciato le patch correttive ma non esistono workaround. Il rischio riguarda sia i server che gli appliance enterprise con interfaccia IMC esposta.
Una nuova vulnerabilità, monitorata con il codice CVE-2026-20093 colpisce Cisco Integrated Management Controller (IMC) e consente ad un malintenzionato remoto non autenticato di ottenere un accesso amministrativo completo sui dispositivi vulnerabili.
Il problema, riporta Cisco nel suo bollettino, nasce da una gestione sbagliata delle richieste di cambio password. Una richiesta HTTP appositamente creata riesce ad aggirare l’autenticazione, modificare le credenziali di qualsiasi utente del sistema. Cisco ha rilasciato delle patch di sicurezza che correggono il bug, ma non esistono workaround temporanei.
L’advisory di Cisco data 1° aprile 2026, dove si segnala una falla critica con punteggio CVSS 9.8. Il problema interessa molti prodotti enterprise e infrastrutture che si basano su Cisco IMC. Non è un caso che la vulnerabilità coinvolge componenti centrali nella gestione dell’hardware delle infrastrutture IT delle aziende.
Come detto, il difetto emerge nelle funzionalità di cambio password. Un attaccante potrebbe inviare una richiesta HTTP forgiata per ottenere accesso senza credenziali. Può modificare le password di qualsiasi account, inclusi quelle degli amministratori dei sistemi.
Questo comportamento permette di aggirare il processo di autenticazione e, una volta dentro, assumere il controllo del sistema con privilegi elevati.
Cisco conferma che il problema riguarda molti dispositivi tra cui 5000 Series Enterprise Network Compute Systems, Catalyst 8300 Series Edge uCPE e server UCS C-Series M5 e M6 che sono configurati in modalità standalone.
Anche numerosi appliance basati su questi sistemi risultano esposti quando l’interfaccia IMC è accessibile. Tra queste ci sono gli Application Policy Infrastructure Controller, i Catalyst Center, HyperFlex e i Secure Firewall Management Center.
Cisco ha escluso UCS B-Series Blade Servers, UCS C-Series M7 e M8, i quali sono gestiti tramite Fabric Interconnect. Questo dettaglio delimita il perimetro del rischio.
Cisco indica chiaramente che l’unica possibile difesa consiste nell’applicazione delle patch di sicurezza alle versioni vulnerabili. Ad esempio, per i sistemi UCS C-Series M5 la correzione arriverà con la release 4.3(2.260007), mentre per M6 sono richieste versioni come la 4.3(6.260017) o la 6.0(1.250174).
| Cisco Hardware Platform | First Fixed Cisco IMC Release | Remediation |
|---|---|---|
| Cisco Telemetry Broker Appliances | 6.0(1.250192) (M6) | Apply the firmware update m6-tb2300-ctb-firmware-6.0-1.250192.iso. |
| IEC6400 Edge Compute Appliances | 4.3(6.260017) (M6) | Apply the HUU upgrade using IEC6400-HUU-4.3.6.img. |
| Secure Endpoint Private Cloud Appliances | 4.3(2.260007) (M5) 4.3(6.260017) (M6) | Upgrade to Release 4.2.5 or later, then follow the steps in the TechNote. |
| Secure Firewall Management Center Appliances | 4.3(2.260007) (M5) 4.3(6.260017) (M6) | Apply Hotfix FX. |
| Secure Malware Analytics Appliances | 4.3(2.260007) (M5) 4.3(6.260017) (M6) | Update the firmware using the Out-of-Band Firmware Update ISO procedure. |
| Secure Network Analytics Appliances | 4.3(2.260007) (M5) 6.0(1.250192) (M6) | For M5, install patch-common-SNA-FIRMWARE-20260210-M5-REL.iso. For M6, install patch-common-SNA-FIRMWARE-20260210-M6-REL.iso. |
| Secure Network Server Appliances | 4.3(2.260007) (M5) 4.3(6.260017) (M6) 6.0(1.250174) (M6) | Apply the BIOS and HUU upgrade as documented in the Firmware Upgrade Guide for Cisco Secure Network Server 3600 Series or Cisco Secure Network Server 3700 Series. |
Per alcune piattaforme, l’aggiornamento necessario richiede procedure specifiche. I Cisco Telemetry Broker necessitano di un firmware dedicato, mentre altri appliance richiedono patch o upgrade tramite Host Upgrade Utility.
Al momento, lo PSIRT di Cisco dichiara che non sono stati ancora osservati exploit pubblici o utilizzi malevoli al momento dell’emissione del bollettino. Ma vale la pena ricordarlo che la semplicità dell’attacco basato su HTTP, riduce drasticamente la barriera tecnica per eventuali aggressori.
