去年全球企业花在服务器管理控制器上的安全预算,有相当一部分打了水漂。思科刚刚披露的一个漏洞,让攻击者不用账号就能直接修改你的管理员密码——CVSS评分9.8,距离满分只差0.2。
一个HTTP请求就能接管整台服务器
这个编号CVE-2026-20093的漏洞藏在思科IMC(集成管理控制器)的密码修改功能里。IMC相当于服务器的"后门钥匙",管理员靠它远程开关机、装系统、看硬件状态,平时藏在机房深处不露面。
问题出在密码重置请求的处理逻辑上。系统没验证请求来源是否合法,直接执行了修改操作。攻击者构造一个特定的HTTP请求发过去,就能绕过所有认证步骤,把任意用户的密码改成自己想要的——包括最高权限的Admin账号。
思科安全公告里的描述很克制:"incorrect processing of incoming password change requests"。翻译成人话:服务器太信任陌生人了,谁来都让改密码。
受影响的产品清单拉出来很长。独立运行的UCS C-Series服务器全线中招,5000系列ENCS边缘设备、Catalyst 8300系列交换机也在列。更麻烦的是一堆"套娃"设备——APIC控制器、Catalyst Center、防火墙管理中心、安全分析平台,这些设备底层用的都是UCS C-Series服务器,只要IMC界面暴露在外,同样 vulnerable。
好消息是B系列刀片、X系列模块化系统、C-Series的M7和M8新款不受影响。坏消息是:没有临时缓解方案,打补丁是唯一出路。
升级路径比漏洞本身还折腾
思科给出的修复方案因设备而异,堪称"一机一策"。5000系列ENCS和Catalyst 8300需要先升级底层的NFVIS(企业网络功能虚拟化基础设施软件),IMC补丁才能生效。独立服务器用户相对幸运,可以用HUU(主机升级工具)一键刷入。
这种碎片化的升级体验,是企业IT基础设施年久失修的缩影。同一套IMC软件,在不同产品线上的部署方式、暴露面、依赖关系各不相同,管理员得先搞清楚自己手里是哪一类设备,才能对号入座找补丁。
思科在公告末尾加了一句:目前未发现主动利用证据,也没有公开的恶意利用公告。这句话的潜台词是——漏洞细节已经公开,攻击者正在研究利用代码,窗口期正在关闭。
管理控制器正在成为攻击者的软柿子
IMC、BMC、iLO、iDRAC,这些名字各异的服务器管理控制器,本质都是同一类东西:绕过操作系统的"幽灵管理员"。它们拥有比操作系统更高的权限,却经常被配置在隔离不严格的网络区域,补丁更新也滞后于主系统。
2024年,多起勒索软件攻击的初始入口都是暴露的管理控制器。攻击者不需要破解Windows或Linux的复杂漏洞,直接找这些"后门钥匙"下手,拿到权限后再横向移动。CVE-2026-20093的9.8分评分,反映的正是这类攻击路径的致命性——无需认证、远程利用、直接获取最高权限。
思科将漏洞发现归功于一位未公开姓名的安全研究员。按照行业惯例,这位研究员可能在数月前就向思科提交了报告,经过协调披露流程后,补丁与漏洞详情同时发布。这种"负责任的披露"给了企业修复时间,但也给了攻击者逆向工程的时间。
对于运行受影响设备的团队来说,接下来的48小时很关键。IMC界面通常部署在管理网段,理论上不对外暴露,但"理论上"三个字在安全领域从来不可靠。VPN配置失误、供应链入侵、内网横向移动,都可能让本该隔离的管理接口暴露在攻击者面前。
你现在能确定自己机房里的C-Series服务器,IMC版本是多少吗?
热门跟贴