2026 áprilisában a Cisco Systems több súlyos biztonsági hibát hozott nyilvánosságra, amelyek vállalati infrastruktúrákat érintenek. A legsúlyosabb egy hitelesítés megkerülését lehetővé tevő sérülékenység, amely akár teljes adminisztrátori hozzáférést adhat támadók kezébe.
Kritikus hiba a Cisco IMC-ben (CVE-2026-20093)
A legnagyobb kockázatot a CVE-2026-20093 azonosítójú sérülékenység jelenti, amely a Cisco Integrated Management Controller (IMC) rendszert érinti.
Ez a komponens:
- a Cisco UCS szerverekben található (C-Series, E-Series)
- az operációs rendszertől függetlenül működik
- lehetővé teszi a szerverek távoli (out-of-band) kezelését még akkor is, ha az OS nem elérhető
A hiba oka a jelszóváltoztatási kérelmek hibás kezelése az IMC felületen.
Mit tud egy támadó?
A sérülékenység kihasználásával egy támadó:
- megkerülheti a hitelesítést
- módosíthatja bármely felhasználó jelszavát (akár adminét is)
- teljes rendszerszintű hozzáférést szerezhet
👉 A támadás speciálisan kialakított HTTP kérésekkel hajtható végre – akár hitelesítés nélkül.
Miért különösen veszélyes?
Mivel az IMC az operációs rendszertől függetlenül működik:
- a támadó mély rendszerhozzáférést kap
- a jelenlét tartós lehet (perzisztens)
- a fertőzés nehezen észlelhető és eltávolítható
Nincs kerülő megoldás – azonnali patch szükséges
A Cisco biztonsági csapata (PSIRT) kiemelte:
- ❌ nincs ideiglenes megoldás
- ❌ nincs workaround
- ✅ csak a frissítés jelent megoldást
Bár jelenleg nincs bizonyíték aktív kihasználásra, a tapasztalatok szerint az ilyen hibákat gyorsan fegyveresítik a támadók.
További kritikus sérülékenység (CVE-2026-20160)
A Cisco egy másik súlyos hibát is javított, amely a Smart Software Manager On-Prem (SSM On-Prem) rendszert érinti.
Ez lehetővé teszi:
- speciálisan kialakított API kérések küldését
- távoli kódfuttatást (RCE)
- root szintű jogosultság megszerzését
👉 Ez gyakorlatilag teljes rendszerátvételt jelenthet.
Előzmény: már aktívan kihasznált Cisco hiba
A mostani sérülékenységek egy korábbi, már kihasznált hiba után kerültek napvilágra:
- CVE-2026-20131 – Cisco FMC
- ransomware támadásokban használták (Interlock csoport)
- a CISA sürgős javítást rendelt el (3 napos határidő)
Ez jól mutatja: nem elméleti kockázatról van szó.
Egyre gyakoribb támadási irány: menedzsment réteg
A támadók egyre inkább az infrastruktúra mélyebb rétegeit célozzák:
Miért célpont az IMC?
- tartós hozzáférést biztosít
- kevésbé monitorozott
- túléli az újratelepítést és rebootot
👉 Ez ideális rejtett, hosszú távú támadásokhoz
Mit kell tenni azonnal?
Ha Cisco rendszereket használsz, ezt ne halogasd:
🔴 Kritikus lépések:
- azonnali biztonsági frissítések telepítése
- menedzsment felületek (IMC, SSM) elérésének korlátozása
- csak megbízható hálózatból engedélyezett hozzáférés
🟡 További ajánlások:
- naplók ellenőrzése (jelszóváltozás, login események)
- sérülékenység vizsgálat futtatása
- nem használt felületek letiltása
Kilátások
Bár még nincs aktív támadás igazolva, az ilyen súlyosságú (CVSS 9.8) hibák esetében:
👉 szinte biztos, hogy napokon belül megjelennek exploitok
A késlekedés:
- adatvesztést
- rendszerek átvételét
- üzleti leállást
is eredményezhet.
