CVE-2026-20093: Kritischer Cisco IMC Auth Bypass auf UCS, ENCS & Catalyst

Diese Woche in unserer InSEKurity der Woche-Serie: Eine kritische, unauthentifizierte Authentication-Bypass-Schwachstelle im Cisco Integrated Management Controller (IMC), mit der ein entfernter Angreifer mit einer einzigen präparierten HTTP-Anfrage das Passwort jedes lokalen Benutzers — inklusive admin — zurücksetzen und sich anschließend mit vollen administrativen Rechten auf dem Out-of-Band-Management von Cisco UCS, ENCS, Catalyst 8300 uCPE sowie einer langen Liste von Cisco-Appliances auf UCS-C-Series-Hardware anmelden kann.

🚨 Zusammenfassung

CVE ID: CVE-2026-20093
EUVD ID: EUVD-2026-17947
CVSS 3.1 Score: 9.8 (Kritisch)
CWE: CWE-20 (Improper Input Validation)
Betroffene Software: Cisco Integrated Management Controller (IMC) auf UCS C-Series (M5/M6 standalone), 5000 Series ENCS, Catalyst 8300 Series Edge uCPE, UCS E-Series M3 sowie zahlreiche UCS-basierte Appliances (APIC, Secure Firewall Management Center, Malware Analytics, Cyber Vision Center)
Angriffsvektor: Netzwerk (unauthentifiziert, remote)
Authentifizierung erforderlich: Keine
Auswirkung: Vollständige administrative Übernahme des Out-of-Band-Management-Controllers — BIOS/Firmware, Virtual Media, KVM, Power, OS-Kontrolle
Patch-Status: ✅ Verfügbar (Cisco, 2. April 2026)
Veröffentlicht: 2. April 2026
Exploitation-Status: Zum Redaktionsschluss kein öffentlicher PoC und keine bestätigte aktive Ausnutzung
CISA KEV: Nicht gelistet (Stand Veröffentlichung)

🖥️ Was ist Cisco IMC?

Der Cisco Integrated Management Controller (IMC) ist der Baseboard Management Controller (BMC), der mit Cisco UCS C-Series Rack-Servern und einer Vielzahl von Cisco-Appliances auf UCS-Hardware ausgeliefert wird. Er ist Ciscos Gegenstück zu HPE iLO oder Dell iDRAC: Ein eigenständiger Service-Prozessor mit eigener CPU, eigenem Netzwerk-Stack, Web-UI, XML/Redfish-API, IPMI-Schnittstelle und virtuellem KVM — erreichbar auch dann, wenn das Host-Betriebssystem nicht läuft.

IMC arbeitet unterhalb des Betriebssystems. Wer IMC kontrolliert, kontrolliert den Server: beliebige Virtual Media einhängen, den Server in ein vom Angreifer bereitgestelltes Image booten, Firmware flashen, die Host-Konsole mitlesen und die Maschine beliebig hart neustarten. Genau die Art Schnittstelle, die niemals in untrusted Netzen erreichbar sein sollte — und genau die Art Schnittstelle, die in realen Umgebungen trotzdem häufig erreichbar ist.

Typische Einsatzfälle

Out-of-Band-Management von Cisco UCS C-Series Rack-Servern in Enterprise-Rechenzentren
Lights-Out-Administration von Cisco-Appliances auf UCS-Hardware (APIC Controller, Secure Firewall Management Center, Malware Analytics, Cyber Vision Center)
Branch-Virtualisierung auf 5000 Series ENCS und Catalyst 8300 Edge uCPE Plattformen
Firmware- und BIOS-Lifecycle-Management (Updates, Inventar, Hardware-Health)
Remote-KVM, Virtual Media und Power Control während Incident Response und Wartungsfenstern

Weil IMC der letzte Rückfallweg für das Management ist, ist er häufig von Jump-Hosts, Management-VLANs und — in schlecht segmentierten Umgebungen — gelegentlich auch aus dem Corporate-LAN erreichbar.

🔍 Technische Analyse

Schwachstellenbeschreibung

CVE-2026-20093 ist ein Authentication Bypass in der Passwort-Änderungsfunktion des IMC-Web-Interfaces und der XML-API. Die Ursache liegt in einer unzureichenden Eingabevalidierung (CWE-20) bei der Verarbeitung von Anfragen, die über die configConfMo-Methode der XML-API auf die Objektklasse aaaUser zielen.

Normalerweise erfordert configConfMo auf aaaUser — die Operation, mit der ein lokales Benutzerkonto und dessen Passwort geändert werden — eine authentifizierte Session mit Admin-Rechten. Aufgrund des Fehlers verarbeitet IMC die Passwortänderung jedoch bevor der Session-Kontext des Aufrufers geprüft wird. Ein einzelner präparierter HTTP-POST genügt, um das Passwort jedes lokalen Kontos — inklusive admin — zu ändern, ohne jemals authentifiziert zu sein. Der Angreifer meldet sich anschließend einfach mit dem neuen Passwort an und erhält volle administrative Kontrolle.

Root-Cause-Analyse

Reihenfolge der Autorisierungsprüfung: Die IMC XML-API leitet die configConfMo-→aaaUser-Passwort-Mutation weiter, bevor der Session-/Authorization-Layer den Aufrufer validiert hat.
Improper Input Validation (CWE-20): Der Handler akzeptiert und verarbeitet das vom Angreifer kontrollierte pwd-Attribut auf aaaUser, ohne eine privilegierte, authentifizierte Session zu verlangen.
Gemeinsamer Code-Pfad für Web-UI und XML-API: Sowohl das Web-Management-Interface als auch die XML-API exponieren denselben verwundbaren Handler — jeder erreichbare Management-Endpunkt ist ausnutzbar.
Kein Workaround: Cisco PSIRT stellt ausdrücklich klar, dass es keinen konfigurationsbasierten Workaround gibt — der Fehler steckt in der Request-Dispatch-Logik selbst.

Angriffsvektor

Ein typischer Exploitation-Ablauf sieht so aus:

# Schritt 1: Erreichbaren IMC-Web-/XML-API-Endpunkt finden
# IMC lauscht typischerweise auf Port 443 (Web-UI + XML-API) am Management-NIC
curl -sk -o /dev/null -w "%{http_code}\n" https://imc.target.example/
# Ein 200 / Redirect auf /login.html bestaetigt ein exponiertes IMC

# Schritt 2: Praeparierte XML-API-Anfrage senden, die ueber configConfMo
# die Objektklasse aaaUser adressiert und das admin-Passwort OHNE
# gueltiges Session-Cookie oder Auth-Token zuruecksetzt.
curl -sk -X POST https://imc.target.example/nuova \
  -H "Content-Type: application/xml" \
  --data '<configConfMo dn="sys/user-ext/user-admin">
            <inConfig>
              <aaaUser id="1" name="admin" pwd="Pwn3d!SEKurity2026"/>
            </inConfig>
          </configConfMo>'

# Schritt 3: IMC verarbeitet die Passwortaenderung, BEVOR der
# Session-Kontext geprueft wird. Das Admin-Passwort liegt nun
# in den Haenden des Angreifers.

# Schritt 4: Anmelden als admin mit dem neuen Passwort via Web-UI,
# XML-API oder SSH (sofern aktiviert) -- volle administrative Kontrolle.
curl -sk -X POST https://imc.target.example/nuova \
  -H "Content-Type: application/xml" \
  --data '<aaaLogin inName="admin" inPassword="Pwn3d!SEKurity2026"/>'

Die obige Payload ist illustrativ. Die Schwachstelle liegt im serverseitigen Dispatch von configConfMo auf aaaUser; jede funktional äquivalente Anfrage erreicht denselben verwundbaren Code-Pfad.

Aktive Ausnutzung

Zum Zeitpunkt des Cisco-Advisory (2. April 2026) meldet Cisco PSIRT keinen bekannten öffentlichen PoC und keine bestätigte aktive Ausnutzung. Angesichts der Trivialität des Bugs, der Pre-Auth-Reichweite und des Werts von IMC als Pivot-Punkt war das Zeitfenster zwischen Advisory und bewaffneten PoCs für ähnliche Cisco-Management-Plane-Schwachstellen historisch sehr kurz — Organisationen sollten von unmittelbar bevorstehender Ausnutzung ausgehen, nicht von einer hypothetischen.

Post-Exploitation-Auswirkungen

Vollständige Out-of-Band-Übernahme: beliebige Virtual Media einhängen, in vom Angreifer kontrollierte Images booten, Host-Konsolenausgaben mitlesen.
Host-OS-Kompromittierung: Neustart in ein Live-Image, Root-Passwörter zurücksetzen, Disks exfiltrieren, persistente Implants unterhalb des OS installieren.
Firmware-Level-Persistenz: BIOS-/IMC-Firmware flashen, um OS-Neuinstallationen zu überleben.
Appliance-Kompromittierung: Bei Cisco-Appliances auf UCS (APIC, Secure Firewall Management Center, Malware Analytics, Cyber Vision Center) ist die IMC-Übernahme gleichbedeutend mit der Übernahme der Appliance.
Lateral Movement: IMC liegt typischerweise auf einem vertrauenswürdigen Management-VLAN — idealer Pivot in Richtung vCenter, Domain Controller und Hypervisoren.
Denial of Service: Remote-Power-Off / Cold-Reset von Produktionshardware.

⚠️ Impact-Bewertung

Unmittelbare Auswirkungen

Pre-Auth, netzwerkerreichbar, CVSS 9.8: Keine Credentials, keine User-Interaction.
Kontrolle unterhalb des OS: Eine IMC-Kompromittierung umgeht jede OS-Ebene-Kontrolle (EDR, Host-Firewall, Disk-Encryption-Unlock etc.).
Kein Workaround: Patchen ist die einzige Abhilfe.
Breite Produktbasis: Betrifft nicht nur Rack-Server, sondern jede Cisco-Appliance-Familie auf UCS-C-Series-Basis.

Betroffene Versionen

Plattform	Verwundbar	Gefixt in
UCS C-Series M5 / M6 (standalone)	IMC < 4.3(2.260007), < 4.3(6.260017), < 6.0(1.250174)	4.3(2.260007), 4.3(6.260017), 6.0(1.250174)
5000 Series ENCS (NFVIS)	NFVIS < 4.15.5	4.15.5
Catalyst 8300 Series Edge uCPE	NFVIS < 4.18.3	4.18.3
UCS E-Series M3	< 3.2.17	3.2.17
UCS C-Series M7 / M8 (standalone)	Nicht betroffen	—
UCS C-Series in UCSM / Intersight Managed Mode	Nicht betroffen	—
UCS B-Series, S-Series, X-Series, Unified Edge	Nicht betroffen	—

Betroffene Umgebungen

Enterprise-Rechenzentren, die UCS C-Series im Standalone-Modus betreiben.
Branch-Standorte mit 5000 Series ENCS oder Catalyst 8300 uCPE für Network Function Virtualization.
Cisco-Appliance-Kunden: APIC Controller, Secure Firewall Management Center, Malware Analytics, Cyber Vision Center — allesamt umgelabelte UCS-C-Series-Hardware.
MSPs und Colocation-Betreiber, die IMC in gemeinsam genutzten Management-Netzen exponieren.
Jede Umgebung, in der IMC jemals aus einem nicht vertrauenswürdigen VLAN, von einem Jump-Host oder über ein VPN ohne strikte ACLs erreichbar war.

Angreiferprofile

Initial-Access-Broker: Eine Pre-Auth-Admin-Übernahme auf Cisco-Management-Plane-Hardware ist genau der Zugang, der an Ransomware-Gruppen weiterverkauft wird.
Ransomware-Betreiber: IMC liefert Persistenz unterhalb des OS und die Fähigkeit, Endpunkte en masse zu deaktivieren.
APT-Gruppen: Firmware-Level-Persistenz auf strategischen Zielen (Finanzsektor, kritische Infrastruktur, Behörden).
Insider: Trivial aus einem Management-VLAN heraus auszunutzen, mit minimalem forensischen Footprint.

🛡️ Mitigation-Strategien

Sofortmaßnahmen (Priorität 1) ⚡

Exponierte IMC-Instanzen identifizieren:

# Von einem zugelassenen Management-Host: erreichbare IMC-UIs pruefen
nmap -p 443 --script http-title -oG - 10.0.0.0/24 \
  | grep -iE "integrated management|cisco imc|ucs"

Laufende IMC-/NFVIS-Version prüfen:

# Via SSH auf die IMC-CLI
scope chassis
show firmware detail

# Oder ueber die IMC XML-API
curl -sk -X POST https://imc.target.example/nuova \
  -H "Content-Type: application/xml" \
  --data '<aaaLogin inName="admin" inPassword="REDACTED"/>'
# anschliessend configResolveClass auf firmwareRunning absetzen

Auf einen gefixten Release patchen (gemäß Cisco-Advisory cisco-sa-imc-authbypass-<id>):
- UCS C-Series M5/M6 standalone → 4.3(2.260007), 4.3(6.260017) oder 6.0(1.250174)
- 5000 Series ENCS NFVIS → 4.15.5
- Catalyst 8300 Edge uCPE NFVIS → 4.18.3
- UCS E-Series M3 → 3.2.17
Netzwerk-Erreichbarkeit einschränken, bis gepatcht ist:
- Strikte ACLs: IMC darf ausschließlich aus einem dedizierten OOB-Management-Netz erreichbar sein.
- TCP/443, 80, 22 und IPMI (623/udp) aus allen Nicht-Management-VLANs blockieren.
- Für jeden menschlichen Zugriff VPN + MFA + Jump-Host erzwingen.
IMC-Credentials rotieren nach dem Patchen — davon ausgehen, dass jede exponierte Instanz ein unbemerkt zurückgesetztes Admin-Passwort gehabt haben könnte.

Detektionsmaßnahmen 🔍

Es liegen keine dedizierten IoCs vor. Hunting-Ansatz: Symptome der Ausnutzung suchen.

# IMC-Access-/Audit-Logs — nach unauthentifizierten oder auffaelligen
# configConfMo-Anfragen auf aaaUser (Passwort-Mutationen) suchen.
grep -E "configConfMo.*aaaUser" /var/log/imc/*.log

# XML-API-POSTs auf /nuova von unerwarteten Quell-IPs
grep -E "POST /nuova" /var/log/imc/access.log \
  | awk '{print $1}' | sort -u

# Unerwartete erfolgreiche admin-Logins kurz nach einem configConfMo
grep -E "aaaLogin.*admin" /var/log/imc/audit.log

# Firmware-/BIOS-Aenderungen, Virtual-Media-Mounts oder Power-Events
# ausgeloest von unbekannten Quell-IPs
grep -E "vmedia|bios|power" /var/log/imc/audit.log

Netzwerkseitiges Hunting:

Alarm auf jeden POST auf /nuova von außerhalb des OOB-Management-Netzes.
Alarm auf jede neue Quell-IP, die sich an IMC authentifiziert.
Alarm auf Virtual-Media-Mounts oder BIOS-/Firmware-Updates außerhalb von Change-Fenstern.

Langfristige Sicherheitsverbesserungen

Management-Plane isolieren: Physisch oder logisch getrenntes OOB-Netz für alle BMC/IMC/iLO/iDRAC-Interfaces, ohne Routing zu User- oder Produktions-VLANs.
MFA und Jump-Hosts auf der Management-Plane: Kein direkter Operator-Zugriff auf IMC von Arbeitsplätzen aus.
BMCs explizit inventarisieren: Die meisten Organisationen wissen nicht, wie viele IMCs sie exponieren — einen belastbaren, aktuellen Bestand führen.
Firmware-Lifecycle-Prozess: Cisco-PSIRT-Advisories aktiv beobachten und IMC-Firmware als Tier-1-Patching behandeln, nicht als “machen wir nächstes Quartal”.
Appliance-OOB-Pfade auditieren: APIC, Secure Firewall Management Center, Malware Analytics und Cyber Vision Center bringen IMC von Haus aus mit — auch diese patchen.

🎯 Warum ist das kritisch?

Pre-Auth, CVSS 9.8: Keine Credentials, keine User-Interaction, eine einzige HTTP-Anfrage.
Blast Radius unterhalb des OS: Eine IMC-Kompromittierung umgeht jede in-OS-Kontrolle.
Riesige installierte Basis: UCS C-Series und die darauf aufbauenden Appliances sind Standard in Enterprise-Rechenzentren.
Kein Workaround: Nur ein Firmware-Upgrade behebt das Problem.
Versteckte Exposure-Fläche: Viele Cisco-Appliances, die Kunden nicht als “UCS” wahrnehmen, betreiben unter der Haube ein IMC.
Attraktives Ziel: Management-Plane-Zugang ist genau das, was Initial-Access-Broker und Ransomware-Gruppen kaufen.
Kurzes Advisory-zu-Exploit-Fenster: Frühere Cisco-Management-Plane-Schwachstellen wurden innerhalb weniger Tage bewaffnet.

🚀 Timeline und Disclosure

Interne Entdeckung: Cisco PSIRT vor dem 2. April 2026 gemeldet (genaues Datum nicht veröffentlicht)
Patch-Release: 2. April 2026
Öffentliches Advisory: 2. April 2026 (Cisco Security Advisory)
CVE-Zuweisung: CVE-2026-20093
EUVD-Zuweisung: EUVD-2026-17947
Öffentlicher PoC: Zum Redaktionsschluss nicht bekannt
CISA KEV: Nicht gelistet (Stand Veröffentlichung)

🔗 Ressourcen und Referenzen

CVE: CVE-2026-20093
NVD: NVD — CVE-2026-20093
Tenable: CVE-2026-20093 — Tenable
CWE: CWE-20: Improper Input Validation
CISA KEV Catalog: Known Exploited Vulnerabilities
Cisco PSIRT: Cisco Security Vulnerability Policy

💼 SEKurity Unterstützt Sie

Schwachstellen in der Management-Plane wie CVE-2026-20093 sind eine Erinnerung daran, dass Ihre Angriffsfläche nicht am Hypervisor endet — sie reicht bis hinunter zum BMC und von dort bis in BIOS und Firmware. Jede UCS-, ENCS-, Catalyst-8300-uCPE-, APIC-, Secure-Firewall-Management-Center-, Malware-Analytics- und Cyber-Vision-Center-Box in Ihrem Bestand ist ein potenzieller Einstiegspunkt für genau diese Art der Übernahme unterhalb des Betriebssystems. Wir helfen Organisationen, solche Exposures zu finden, bevor es ein Angreifer tut.

Unsere Services

Penetration Testing: Webanwendungen, Mobile Apps (Android & iOS), SAP-Systeme, Active Directory
Groß angelegte Angriffe: Perimeter-Tests, IT-Infrastruktur-Tests, Red-Team-Engagements
Security Awareness: Phishing-Kampagnen, Hacking-Demonstrationen

Handeln Sie jetzt — bevor es Angreifer tun.

Kontakt:

🌐 Website: www.sekurity.de

📧 Anfragen: www.sekurity.de/kontakt

📱 LinkedIn: SEKurity GmbH

Ihr SEKurity Team — Your Trusted Adversaries

Die Sicherheit Ihrer Out-of-Band-Management-Plane ist unser Antrieb.

InSEKurity der Woche (KW15/2026): Cisco IMC Authentication Bypass (CVE-2026-20093)