SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Authentifizierungslücke in Cisco IMC ermöglicht Admin-Zugriff

Kritische Authentifizierungslücke in Cisco IMC ermöglicht Admin-Zugriff
Zusammenfassung

Cisco hat mehrere kritische Sicherheitslücken geschlossen, darunter eine schwerwiegende Authentifizierungslücke in der Integrated Management Controller (IMC) Software, die Angreifern Admin-Zugriff auf Server ermöglicht. Die als CVE-2026-20093 registrierte Schwachstelle betrifft die Passwortänderungsfunktion des IMC-Moduls, das auf Cisco UCS-Servern der C- und E-Serie integriert ist und eine Out-of-Band-Verwaltung ermöglicht. Unauthentizierte Angreifer können diese Lücke remote ausnutzen, indem sie manipulierte HTTP-Anfragen senden, um die Authentifizierung zu umgehen und Admin-Passwörter zu ändern. Obwohl Cisco bislang keine Hinweise auf aktive Ausnutzung in der Wildnis gefunden hat, empfiehlt das Unternehmen dringend sofortige Sicherheitsupdates, da keine Zwischenlösungen zur Verfügung stehen. Diese Sicherheitslücke ist besonders besorgniserregend für deutsche Unternehmen und Behörden, die auf Cisco-Infrastruktur setzen. Sie könnten ohne größere Störungen vollständig kompromittiert werden, da ein Angreifer mit Admin-Rechten Zugriff auf kritische Systeme erhält – selbst wenn das Betriebssystem ausfällt. Die Vulnerability ist Teil einer Serie kritischer Cisco-Flaws, die in jüngster Zeit Hacker-Aktivitäten ermöglicht haben.

Die Sicherheitslücke CVE-2026-20093 entstand durch fehlerhafte Verarbeitung von Passwortänderungsanfragen im Cisco IMC. Angreifer können diese Lücke ausnutzen, indem sie manipulierte HTTP-Anfragen an betroffene Geräte senden. Ein erfolgreicher Angriff ermöglicht es ihnen, die Authentifizierung zu umgehen, Passwörter von beliebigen Benutzern zu ändern — einschließlich Administrator-Konten — und anschließend als dieser Benutzer auf das System zuzugreifen.

Das Integrated Management Controller (CIMC) ist ein kritisches Systemkomponent für die Verwaltung von Cisco Servern. Es bietet Zugriff über mehrere Schnittstellen: XML API, Web-Interface und Kommandozeile. Gerade diese Vielfältigkeit macht die Lücke besonders gefährlich, da Angreifer über verschiedene Kanäle angreifen können.

Obwohl Ciscos Product Security Incident Response Team (PSIRT) bislang keine aktiven Angriffe in der Wildnis oder öffentliche Proof-of-Concept-Exploits entdeckt hat, stuft das Unternehmen die Bedrohung als kritisch ein. Dies rechtfertigt die dringende Empfehlung zum sofortigen Patchen.

Parallel dazu behob Cisco eine weitere kritische Lücke (CVE-2026-20160) im Smart Software Manager On-Prem (SSM On-Prem). Diese ermöglicht unprivilegierten Angreifern die Remote Code Execution mit Root-Rechten auf betroffenen Systemen — ebenfalls durch manipulierte API-Anfragen.

Diese Häufung kritischer Schwachstellen steht im Kontext jüngerer Sicherheitsvorfälle bei Cisco. Im Januar patcht das Unternehmen bereits eine maximalschwere RCE-Lücke (CVE-2026-20131) in der Secure Firewall Management Center (FMC), die die Ransomware-Gruppe Interlock in Zero-Day-Attacken ausgenutzt hatte. Die US-Behörde CISA ordnete Bundesbehörden an, diese Lücke innerhalb von drei Tagen zu schließen.

Zusätzlich wurde bekannt, dass Ciscos interne Entwicklungsumgebung kompromittiert wurde — Angreifer hatten Anmeldedaten des Trivy Supply-Chain-Angriffs missbraucht.

Für deutsche Unternehmen ist klare Handlung erforderlich: Bestandsinventare der eingesetzten Cisco-Produkte aktualisieren, Patches zeitnah einspielen und Zugriffsprotokolle auf verdächtige Aktivitäten überprüfen.

Ähnliche Artikel