В обладнанні Cisco виявили критичну уразливість, що дозволяє обійти авторизацію
Компанія Cisco випустила термінове оновлення для усунення кількох критичних та високосерйозних вразливостей, зокрема обходу автентифікації інтегрованого контролера управління (IMC), що дозволяє зловмисникам отримувати доступ адміністратора.
Cisco IMC (або CIMC) – це апаратний модуль, вбудований у материнську плату серверів Cisco, який забезпечує позасмугове керування (навіть якщо операційна система вимкнена або збій) для серверів UCS серії C та E через кілька інтерфейсів, включаючи XML API, веб-інтерфейс (WebUI) та командний рядок (CLI).
Уразливість, що відстежується як CVE-2026-20093, була виявлена у функції зміни пароля Cisco IMC і може бути віддалено використана зловмисниками для обходу автентифікації та доступу до непатчених систем з правами адміністратора.
«Ця вразливість пов’язана з неправильною обробкою запитів на зміну пароля. Зловмисник може використати цю вразливість, надіславши спеціально створений HTTP-запит на уражений пристрій. Успішний експлойт може дозволити зловмиснику обійти автентифікацію, змінити паролі будь-якого користувача в системі, включаючи користувача з правами адміністратора, та отримати доступ до системи від імені цього користувача», – пояснила Cisco.
Хоча команда реагування на інциденти безпеки продуктів Cisco (PSIRT) ще не знайшла доказів експлуатації в реальному часі або коду експлойту, що підтверджує концепцію, компанія «наполегливо рекомендує клієнтам оновити програмне забезпечення до виправленого», оскільки немає жодних способів тимчасового усунення цієї вразливості безпеки.
Цього тижня Cisco також випустила виправлення для критичної вразливості Smart Software Manager On-Prem (SSM On-Prem) (CVE-2026-20160), яка може дозволити зловмисникам без привілеїв отримати віддалене виконання коду (RCE) на вразливих хостах SSM On-Prem.
Зловмисники можуть використати вразливість CVE-2026-20160, надіславши спеціально створений запит до API відкритого сервісу, що дозволить їм виконувати команди в базовій ОС з привілеями root-рівня.
Нагадаємо, що за підсумками року Cisco вийшла в світові лідери на ринку обладнання Wi-Fi 7.
За данними Bleeping computer
