Cette semaine, Cisco a publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités critiques et à haute gravité. L'un des plus inquiétants est un échec dans le module de gestion intégrée de vos serveurs - le célèbre Cisco IMC ou CIMC - qui permettrait à un attaquant de sauter l'authentification et d'obtenir des privilèges d'administrateur dans des systèmes non-patchés.
L'IMC Cisco est un composant physique hébergé sur la plaque de base des serveurs UCS C-Series et E-Series qui assure une gestion hors bande : il vous permet de contrôler le matériel, d'accéder à la console et de gérer le démarrage même lorsque le système d'exploitation n'est pas disponible. Ses interfaces comprennent une API XML, une interface web et une ligne de commande, ce qui en fait un point critique de contrôle et donc une cible attrayante pour les attaquants.
Identifiée comme CVE-2026-20093, la vulnérabilité réside dans la façon dont BMI traite les demandes de changement de mot de passe. Un attaquant à distance, sans authentification, pourrait envoyer une requête HTTP manipulée au service affecté, causer une défaillance dans le contrôle du flux d'exploitation et finir par modifier le mot de passe de tout utilisateur du système. Il pourrait en résulter un accès à du matériel doté de pouvoirs administratifs.
Dans son bulletin technique, Cisco décrit que la racine du problème est le traitement incorrect des demandes de mot de passe et avertit que, si l'explosion est réussie, l'attaquant pourrait établir de nouvelles références pour les comptes existants et ainsi accéder au rôle de cet utilisateur. La société n'a pas publié, pour l'instant, des tests d'exploitation dans des environnements réels ou un code d'essai public, mais recommande d'actualiser d'urgence les versions corrigées Comme il n'y a pas de solutions temporaires pratiques qui atténuent complètement la défaillance; la seule mesure efficace est d'installer les correctifs officiels. Vous pouvez consulter l'avis de Cisco ici : Avis de sécurité de Cisco.
En plus de ce problème dans IMC, Cisco a publié des corrections pour une autre vulnérabilité critique dans Smart Software Manager On-Prem (SSM On-Prem), enregistré comme CVE-2026-20160. Dans ce cas, une requête spécialement construite à l'API exposée pourrait permettre à un attaquant d'exécuter du code sur le serveur affecté avec des privilèges root. La combinaison du vecteur d'entrée accessible via le réseau et l'exécution avec des privilèges élevés fait de cette défaillance un risque d'engagement total de la plate-forme si elle n'est pas corrigée.
L'avertissement intervient dans un contexte tendu : au début du mois, Cisco a dû corriger une vulnérabilité de gravité maximale dans son centre de gestion des pare-feu sécurisé ( CVE-2026-20131) qui a été exploité dans des attaques de type zéro jour par le groupe Interlock. Le même échec a été inclus par l'organisme américain CISA dans son catalogue de vulnérabilités exploitées dans la nature, avec des instructions pour les organismes fédéraux de l'atténuer à titre prioritaire en très peu de temps.
La somme de ces incidents met en évidence deux réalités : premièrement, que les surfaces de gestion hors bande sont des objectifs critiques et, deuxièmement, que la chaîne de développement et les environnements internes peuvent également être compromis, ce qui complique la réponse. Des rapports subséquents ont indiqué que l'environnement de développement interne de Cisco souffrait d'un accès non autorisé par des justificatifs liés à l'incident de la chaîne d'approvisionnement Trivy, ce qui souligne la nécessité d'examiner les mises à jour des logiciels, les justificatifs et les processus de contrôle d'accès.
Si vous gérez l'infrastructure avec les composantes concernées, la recommandation pratique est claire : planifier et installer les mises à jour officielles dès que possible. Outre le patch, il convient de réduire l'exposition des interfaces de gestion : restreindre l'accès aux réseaux de gestion, utiliser les listes de contrôle d'accès, limiter les adresses IP autorisées et les contrôles de gestion des lieux derrière les VPN ou les réseaux séparés. Vérifiez les dossiers d'accès et d'intégrité afin de détecter les activités inhabituelles, de modifier les références et de briser les clés s'il y a un soupçon d'engagement, et assurez-vous que les politiques d'accès privilégié et l'enregistrement des vérifications sont actifs et examinés.
Cisco conserve les détails techniques et les images logicielles touchés dans ses avis de sécurité; il est recommandé de suivre les guides et les notes spécifiques du fabricant avant d'appliquer des changements dans les environnements de production. Pour approfondir, voir l'entrée NVD sur la défaillance de l'IMC ( CVE-2026-20093), avis officiel de Cisco ( Avis de sécurité de Cisco) et la note de la CISA contenant l'inclusion de l'autre vulnérabilité exploitée dans son catalogue ( CISA Alerte).
Bref, nous sommes confrontés à de forts rappels : les systèmes de gestion à distance ne devraient pas être exposés sans protections adéquates, les mises à jour critiques devraient être appliquées rapidement et l'hygiène des références et la chaîne d'approvisionnement logicielle est aussi importante que la qualité du patch lui-même. La sécurité opérationnelle nécessite de combiner des patchs point avec des mesures de conception et des contrôles d'accès qui limitent l'impact lorsque quelque chose échoue.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...