CVE-2026-20093 是思科集成管理控制器中的一个严重身份验证绕过漏洞——这是内置于每台思科 UCS 服务器、HyperFlex 节点以及一系列网络设备中的固件级管理接口。未经身份验证的远程攻击者只要能访问 IMC 接口,就能获得受影响硬件的管理员级控制权。无需凭据,也不需要事先立足点。
CVSS 评分为 9.8。受影响的硬件遍布全球的数据中心、医疗系统、金融服务基础设施和政府网络。思科将其评定为在发布后 72 小时内已被积极利用。这种漏洞会在 18 个月后的事件报告回顾中出现。
IMC 实际上是什么
集成管理控制器是一个独立的嵌入式处理器——本质上就是服务器中的一台小型计算机——它独立于主操作系统运行。它提供带外管理功能:能够开关服务器、访问 BIOS、挂载虚拟介质和监控硬件健康状况,所有这些都无需服务器的操作系统参与。这对数据中心运营很有价值,因为它允许管理员在操作系统崩溃或网络堆栈故障时远程管理服务器。
IMC 运行自己的 Web 服务器、自己的网络堆栈和自己的操作系统(通常是精简版的 Linux 变体)。它在管理网络上拥有自己的 IP 地址——或者在分段不当的环境中,与生产流量在同一网络上。它有持久性存储,用于保存凭据、证书和管理状态。关键的是,它能够执行操作系统级访问无法阻止的操作:写入 BIOS 固件、强制电源状态、绕过驱动器加密。
控制了 IMC 的攻击者就能在操作系统级别以下控制服务器。在 BIOS 或 BMC 级别安装的恶意软件几乎无法通过标准安全工具检测或移除。重新安装操作系统不会移除它。大多数终端检测工具无法看到它。这就是为什么严重级别的 IMC 漏洞的处理方式与关键 Web 应用程序漏洞不同——其持久性潜力在性质上是不同的。
身份验证绕过
思科的安全公告将 CVE-2026-20093 描述为 IMC 身份验证机制中的”不当密码处理”漏洞。具体机制是密码比较函数中的内存损坏问题——在某些条件下,无论提供的密码是否与存储的凭据匹配,该函数都会返回成功值。该条件可以从网络可靠触发,无需任何预先身份验证。
这类漏洞——密码比较中的 off-by-one 错误或空字节注入——在网络设备的历史中一直存在于嵌入式固件中。它之所以反复出现,是因为嵌入式固件开发优先考虑稳定性和兼容性,而非现代安全编码实践,并且这些代码很少经受那种能够强化浏览器 JavaScript 引擎和 Web 服务器实现的对抗性模糊测试。Cisco IMC 运行的软件在某些情况下可以追溯到十五年前,其安全审查流程未能跟上现代漏洞研究的复杂性。
无边界企业问题
十年前,对于 IMC 漏洞的标准回应会是:”确保您的管理网络得到正确分段,这样就不是问题。”这个建议仍然正确——带外管理接口的正确分段是数据中心安全的基本实践。但 2026 年的企业与该建议所设想的情况并不相符。
云迁移创造了混合环境,其中本地硬件通过技术上”私有”但跨越多个安全域的网络连接到云管理平面。远程工作的扩展将管理访问需求推给了从更广泛网络环境连接的 VPN 用户。基础设施即代码工具以有时会创建意外网络路径的方式自动化了服务器管理访问的配置。坦率地说,许多组织只是因为运营上的不便而没有正确分段其管理网络。
Shodan 和类似的互联网扫描工具经常发现 Cisco IMC 接口直接暴露在互联网上——这种配置本不应发生但却频繁出现。那些认为其 IMC 仅可在内部管理 VLAN 上访问的组织,在事件响应期间经常发现,防火墙配置错误、VPN 分支隧道问题或配置错误的云传输网关使其能够从意外位置访问。
即时响应优先事项
Cisco 已为所有受影响的固件版本发布了补丁。应用这些补丁是必需的第一步。但补丁并未解决使此漏洞本身危险的基础配置风险。
立即审计您 IMC 接口的网络可访问性——不要在应用补丁后,也不要在预定的维护窗口之后。使用您的网络扫描工具验证 IMC IP 地址仅可从指定的管理子网访问。如果您发现 IMC 接口可以从更广泛的网络范围访问,请将其视为活跃事件,而不是下个季度需要解决的配置债务项目。
对所有受影响硬件上的 IMC 凭证进行轮换,即使已经打了补丁。如果在应用补丁之前认证绕过漏洞可被利用,就不能假设没有发生未授权访问。拥有 IMC 访问权限的攻击者可能创建了额外的管理员账户,这些账户在漏洞被修补后仍然存在。
如果尚未激活,请启用思科的 Secure Boot 和固件完整性验证功能。这些功能不能防止 CVE-2026-20093 被利用,但它们使得即使攻击者获得了 IMC 访问权限,也大大增加了实现和维持固件级别持久性妥协的难度。
CVE-2026-20093 的基本教训并非思科 IMC 特别不安全 — 等效漏洞定期出现在 Dell iDRAC、HPE iLO、Lenovo XClarity 以及所有其他带外管理实现中。真正的教训是,硬件管理接口是企业攻击表面中系统性安全防护不足的一类,而那些强化了应用层软件的安全投入,并未以同等严谨的方式应用于其下方的固件层。