As vulnerabilidades CVE-2026-20093 e CVE-2026-20160 permitem, sob requisições criadas para explorar os serviços afetados, alteração de senhas no IMC e execução de comandos com privilégios de root no SSM On-Prem.
| Componente | Cisco Integrated Management Controller e Cisco Smart Software Manager On-Prem |
| Vetor | Requisições HTTP ou de API criadas para atingir dispositivos afetados sem autenticação prévia |
| Impacto | CVE-2026-20093 permite alterar senhas de usuários, inclusive Admin, e acessar o sistema como esse usuário; CVE-2026-20160 permite execução de comandos no sistema operacional subjacente com privilégios de root |
| Prioridade | Atualizar os produtos afetados para as versões corrigidas, pois não há solução alternativa indicada |
| Versões | Cisco SSM On-Prem corrigido na versão 9-202601; 5000 Series ENCS corrigido em 4.15.5; UCS C-Series M5 e M6 Rack Servers em modo standalone corrigidos em 4.3(2.260007), 4.3(6.260017) e 6.0(1.250174) |
| Exploração | Não há indicação de exploração ativa das duas vulnerabilidades no momento informado |
A Cisco publicou correções para duas vulnerabilidades críticas com pontuação CVSS 9.8 que afetam componentes administrativos usados em infraestrutura corporativa. A primeira falha, identificada como CVE-2026-20093, está no Cisco Integrated Management Controller, interface de gerenciamento associada a sistemas de computação e servidores. A exploração bem-sucedida permite que um atacante remoto e não autenticado contorne a autenticação por meio do tratamento incorreto de requisições de alteração de senha. O efeito confirmado é sensível: o atacante consegue modificar senhas de qualquer usuário existente no sistema, incluindo uma conta Admin, e depois acessar o ambiente com os privilégios dessa conta.
A segunda vulnerabilidade, identificada como CVE-2026-20160, afeta o Cisco Smart Software Manager On-Prem. O problema decorre da exposição não intencional de um serviço interno acessível por API. Um atacante remoto e não autenticado poderia enviar uma requisição criada para esse serviço exposto e obter execução de comandos arbitrários no sistema operacional subjacente com privilégios de root. Embora os dois problemas tenham impactos diferentes, ambos ficam na categoria de risco crítico porque removem barreiras importantes de autenticação ou autorização em serviços administrativos e podem dar ao invasor controle de alto privilégio sobre ativos de infraestrutura.
Não há indicação de que as falhas tenham sido exploradas em ambiente real no momento informado. Ainda assim, a ausência de exploração observada não reduz a urgência operacional, porque os componentes afetados exercem funções administrativas e ficam próximos de superfícies em que uma credencial, uma senha redefinida ou uma execução com root pode alterar o estado de sistemas críticos. O dado defensivo mais importante é que não foi indicada solução alternativa para substituir a atualização. A resposta deve priorizar inventário, identificação de versões, aplicação dos pacotes corrigidos e validação de que interfaces administrativas não estejam expostas além do necessário.
No caso de CVE-2026-20093, a falha está ligada ao processamento de requisições de troca de senha no Cisco Integrated Management Controller. A condição de exploração descrita exige que o atacante consiga enviar uma requisição HTTP criada para um dispositivo afetado. A vulnerabilidade não depende de autenticação prévia e, por isso, o ponto central de risco é a possibilidade de uma interface administrativa aceitar uma operação sensível sem validar corretamente a identidade e a permissão do solicitante. O resultado não é apenas uma falha de login ou uma enumeração de usuário: o impacto confirmado é a alteração de senhas de contas existentes, incluindo contas administrativas.
Esse tipo de falha precisa ser avaliado como controle direto de identidade local do equipamento. Se uma senha de Admin é alterada por um ator não autenticado, a autenticação passa a favorecer o invasor após a exploração, e as ações subsequentes podem parecer uma sessão administrativa comum nos registros do produto. Em operações de defesa, isso exige revisar não apenas tentativas negadas, mas também eventos de alteração de senha, criação de sessões após mudança de credencial e acessos administrativos que ocorram sem a trilha esperada de solicitação legítima. Como o contexto não descreve payload público, sequência reproduzível ou exploração em massa, a análise defensiva deve permanecer focada em precondições, evidências de abuso e correção.
Em CVE-2026-20160, o fluxo técnico é diferente. O Cisco SSM On-Prem expõe de forma não intencional um serviço interno por API. A exploração ocorre quando um atacante remoto e não autenticado envia uma requisição criada para essa API exposta. O impacto confirmado é execução de comandos no sistema operacional subjacente com privilégios de root. Isso coloca a falha em um patamar de severidade elevado, porque o limite entre aplicação de gerenciamento e sistema operacional é rompido. O invasor não fica restrito a uma função de negócio do serviço; ele pode atingir a camada do sistema em que processos, arquivos, configuração e controles locais são administrados.
A correção específica informada para o SSM On-Prem está na versão 9-202601. A falha foi identificada internamente durante a resolução de um caso de suporte do Cisco Technical Assistance Center, o que indica que a descoberta não foi atribuída a exploração pública no material recebido. Para o IMC, o pesquisador identificado como jyh recebeu crédito pela descoberta e pelo reporte. O texto recebido também aponta produtos e versões corrigidas relacionados ao IMC: 5000 Series Enterprise Network Compute Systems com correção em 4.15.5, e UCS C-Series M5 e M6 Rack Servers em modo standalone com correções em 4.3(2.260007), 4.3(6.260017) e 6.0(1.250174).
A superfície afetada combina interfaces de gerenciamento de infraestrutura e um componente de licenciamento local. O Cisco Integrated Management Controller aparece como componente vulnerável à alteração indevida de senhas por requisição HTTP. O material recebido indica que a falha afeta produtos independentemente da configuração do dispositivo, o que reduz a utilidade de controles locais específicos como fator de exclusão. Para inventário, o ponto prático é mapear instâncias de IMC associadas aos produtos mencionados e confrontar as versões implantadas com as versões corrigidas. Sistemas de computação 5000 Series ENCS devem ser verificados em relação à versão 4.15.5, e servidores UCS C-Series M5 e M6 Rack Servers em modo standalone devem ser comparados com os ramos corrigidos informados.
O Cisco SSM On-Prem deve ser tratado como superfície separada. A vulnerabilidade não é descrita como falha de credencial do usuário, mas como exposição indevida de serviço interno por API. Isso significa que a revisão deve incluir caminhos de rede até a aplicação, controles de exposição, registros de API e confirmação da versão 9-202601 ou posterior quando aplicável ao ambiente. Como o impacto chega a execução com root, uma instância acessível por segmentos amplos, redes administrativas pouco segmentadas ou caminhos indiretos de proxy aumenta o risco. O contexto não traz endereços, portas, payloads, famílias de malware ou atores associados; portanto, a análise não deve presumir campanha ativa nem indicador externo específico.
- Cisco Integrated Management Controller com falha de tratamento de requisições de alteração de senha
- Cisco Smart Software Manager On-Prem com serviço interno exposto por API
- 5000 Series Enterprise Network Compute Systems corrigido em 4.15.5
- UCS C-Series M5 e M6 Rack Servers em modo standalone corrigidos em 4.3(2.260007), 4.3(6.260017) e 6.0(1.250174)
- Cisco SSM On-Prem corrigido na versão 9-202601
A caça em torno de CVE-2026-20093 deve começar por eventos de identidade e administração no IMC. O comportamento de interesse é a alteração de senha iniciada de forma anômala, especialmente quando seguida por autenticação bem-sucedida da mesma conta, mudança de sessão, acesso de origem incomum ou atividade administrativa fora do padrão operacional. Como a exploração descrita usa uma requisição HTTP criada para o dispositivo afetado, registros de acesso HTTP e trilhas de auditoria do próprio controlador devem ser correlacionados com alterações de senha. O ponto defensivo é reconstruir se houve uma transição suspeita entre requisição, modificação de credencial e uso posterior da conta afetada.
Para CVE-2026-20160, a telemetria relevante deve cobrir requisições de API ao SSM On-Prem, eventos do serviço exposto e sinais no sistema operacional subjacente. O impacto de execução com root torna importantes logs de processo, alterações de arquivos sensíveis, criação de tarefas persistentes, mudanças de configuração e conexões de rede originadas pelo host após chamadas incomuns à API. O material recebido não fornece IoCs de rede, hashes, domínios ou payloads, então a detecção deve ser comportamental. A pergunta operacional é se a instância recebeu chamadas de API que não correspondem ao uso normal e se, no mesmo intervalo, o sistema operacional registrou ações de alto privilégio sem origem administrativa legítima.
Também é necessário considerar a lacuna entre exploração e visibilidade. Em falhas de gerenciamento, um evento bem-sucedido pode aparecer como operação legítima depois que a senha foi alterada ou depois que o processo do serviço executou comandos com privilégio elevado. Por isso, a investigação deve preservar logs antes de atualizar quando possível, exportar trilhas de auditoria, comparar horário de mudanças com janelas de manutenção e revisar contas administrativas que sofreram redefinição inesperada. A ausência de exploração ativa informada não substitui verificação local, porque cada ambiente possui exposição e retenção de logs próprias.
- Alterações de senha no IMC sem solicitação administrativa conhecida
- Autenticações bem-sucedidas de contas administrativas logo após mudança de senha
- Requisições HTTP incomuns para funções de alteração de credencial em dispositivos afetados
- Chamadas de API anômalas ao SSM On-Prem antes de eventos de sistema operacional com privilégio elevado
- Processos, arquivos ou configurações modificados no host do SSM On-Prem por contexto de serviço
- Conexões de rede originadas pelo servidor de gerenciamento após atividade anormal de API
A mitigação principal é aplicar as versões corrigidas informadas para cada produto afetado. Para o Cisco SSM On-Prem, a versão corrigida indicada é 9-202601. Para ambientes com Cisco 5000 Series Enterprise Network Compute Systems, a versão corrigida indicada é 4.15.5. Para UCS C-Series M5 e M6 Rack Servers em modo standalone, as versões corrigidas informadas são 4.3(2.260007), 4.3(6.260017) e 6.0(1.250174). Como não há solução alternativa indicada, controles compensatórios não devem ser tratados como substitutos permanentes da atualização. Segmentação, restrição de origem e revisão de exposição ajudam a reduzir risco durante a janela de mudança, mas não removem a falha do componente.
A ordem de resposta deve separar inventário, correção e validação. Primeiro, localizar instâncias de IMC e SSM On-Prem, registrar versões, endereços de gerenciamento e caminhos de acesso. Depois, aplicar as atualizações apropriadas e confirmar que o serviço retorna à versão esperada. Em seguida, revisar logs do período anterior à atualização em busca dos sinais descritos, com atenção especial a alterações de senha, uso de contas administrativas e eventos de execução privilegiada no host do SSM On-Prem. Caso a organização identifique evidência de alteração indevida de senha, a resposta deve incluir redefinição controlada de credenciais administrativas e revisão de sessões ou tokens ativos associados.
Também é recomendável reforçar a exposição de interfaces administrativas. Serviços como IMC e SSM On-Prem devem ficar restritos a redes de administração, com acesso limitado por controles de rede e monitoramento. A correção reduz o risco da vulnerabilidade específica, mas a superfície de gerenciamento continua sensível. Após a atualização, a defesa deve validar que não existem rotas amplas a partir de redes de usuários, segmentos menos confiáveis ou caminhos publicados indevidamente. Como o material recebido informa que vulnerabilidades recentes em produtos Cisco foram exploradas por atores de ameaça, a gestão dessas correções deve ser tratada como prioridade de infraestrutura, mesmo sem exploração confirmada para estas duas falhas.
- Atualizar Cisco SSM On-Prem para 9-202601
- Atualizar 5000 Series ENCS para 4.15.5 quando aplicável
- Atualizar UCS C-Series M5 e M6 Rack Servers em modo standalone para uma das versões corrigidas informadas
- Restringir acesso de rede às interfaces administrativas e APIs de gerenciamento
- Revisar alterações de senha e sessões administrativas ocorridas antes da correção
- Investigar eventos de execução privilegiada no host do SSM On-Prem durante a janela de exposição
0 Comentários