Cisco a publié des mises à jour de sécurité essentielles pour corriger plusieurs vulnérabilités graves, dont une faille d’authentification par contournement dans le module de gestion intégré (IMC). Cette vulnérabilité permet à des attaquants d’accéder aux systèmes en tant qu’administrateurs.
Le Cisco Integrated Management Controller, ou CIMC, est un module matériel intégré à la carte mère des serveurs Cisco. Il offre une gestion à distance, même si le système d’exploitation est hors service, pour les serveurs des séries UCS C et E, utilisant diverses interfaces, y compris API XML, interface web (WebUI) et ligne de commande (CLI).
Identifiée sous le numéro CVE-2026-20093, cette vulnérabilité a été détectée dans la fonctionnalité de changement de mot de passe du Cisco IMC. Des attaquants non authentifiés peuvent l’exploiter à distance pour contourner l’authentification et accéder à des systèmes non corrigés avec des privilèges d’administrateur.
« Cette vulnérabilité est due à une gestion incorrecte des demandes de changement de mot de passe. Un attaquant pourrait exploiter cette faille en envoyant une requête HTTP malveillante à l’appareil concerné », a déclaré Cisco.
Recommandation de mise à jour immédiate
Bien que l’équipe de réponse aux incidents de sécurité produit de Cisco (PSIRT) n’ait pas trouvé de preuves d’exploitation active, l’entreprise conseille fortement aux utilisateurs de mettre à jour vers les logiciels corrigés. Aucun moyen de contournement n’est disponible pour atténuer temporairement cette vulnérabilité.
En plus, Cisco a publié des correctifs pour une vulnérabilité critique du Smart Software Manager On-Prem (SSM On-Prem), référencée à CVE-2026-20160. Cette faille pourrait permettre à des acteurs malveillants d’exécuter du code à distance (RCE) sur des hôtes SSM On-Prem vulnérables.
Les attaquants peuvent exploiter la vulnérabilité CVE-2026-20160 en envoyant une requête malveillante à l’API du service exposé,leur permettant ainsi d’exécuter des commandes avec des privilèges root sur le système d’exploitation sous-jacent.
Plus tôt dans le mois, Cisco avait corrigé une vulnérabilité RCE de gravité maximale (CVE-2026-20131) dans le Secure Firewall Management Center (FMC), qui avait été exploitée par le groupe de ransomware Interlock dans des attaques de jour zéro. Le CISA a également ajouté cette vulnérabilité à son catalogue, ordonnant aux agences fédérales de sécuriser leurs systèmes dans les trois jours suivant l’annonce.
Récemment, des informations évoquent une intrusion dans l’environnement de développement interne de Cisco, résultant de l’utilisation de identifiants volés lors de la récente attaque de la chaîne d’approvisionnement Trivy.