Ciscoのサーバー管理基盤に、認証を一切必要とせず管理者権限を乗っ取れるという非常に深刻な脆弱性が発見された。データセンターやオンプレミス環境でCiscoサーバーを運用している国内の企業・組織にとって、即座の対応が求められる案件だ。

Cisco IMCとは何か——見落とされがちな「隠れた管理経路」

Cisco IMC(Integrated Management Controller)は、Cisco UCS C-SeriesやE-SeriesサーバーのマザーボードにハードウェアとしてビルトインされているOOB(Out-of-Band)管理モジュールだ。OSがクラッシュしていても、電源が切れていても、XMLのAPI・WebUI・CLIを通じてサーバーを遠隔管理できる。

いわばサーバーの「バックドア的な管理口」であり、BMC(Baseboard Management Controller)と同様の役割を果たす。管理の利便性が高い一方、ネットワークに露出していれば攻撃の入り口にもなりうる。

脆弱性の詳細——パスワード変更処理の不具合が致命的

今回発見されたCVE-2026-20093は、Cisco IMCのパスワード変更機能における不適切な処理に起因する。攻撃者は認証なしでHTTPリクエストを細工して送信するだけで、システム上の任意ユーザー(Adminを含む)のパスワードを変更し、そのユーザーとしてシステムにアクセスできてしまう。

CVSSスコアはクリティカル評価であり、現時点でワームやランサムウェアによる実績のある悪用事例やPoCコードは確認されていないものの、Cisco PSIRTは「ワークアラウンドなし・即時アップグレードを強く推奨」と異例の表現で警告している。「ワークアラウンドなし」という点が特に重く、一時的な緩和策が存在しない以上、パッチ適用以外の選択肢がない。

同時公開された他の重大脆弱性も要注意

今回のリリースでは、IMCの問題に加え、もう一つのクリティカル脆弱性も修正されている。

CVE-2026-20160は、Cisco Smart Software Manager On-Prem(SSM On-Prem)のAPIに対して細工されたリクエストを送るだけで、権限なしの攻撃者がOSレベルのroot権限でリモートコード実行(RCE)できるというものだ。ライセンス管理サーバーとしてオンプレ環境に展開している組織は特に影響を受ける。

さらに今月初旬には、Cisco Secure Firewall Management Center(FMC)の最高深刻度RCE脆弱性(CVE-2026-20131)が「Interlockランサムウェア」によるゼロデイ攻撃で悪用されており、CISAが連邦機関に3日以内のパッチ適用を命じる事態にまで発展していた。

実務への影響——国内エンジニアが明日すべきこと

影響範囲の確認(最優先)

  • データセンターやサーバールームでCisco UCS C-Series / E-Seriesを運用しているか確認
  • IMCのWebUIやAPIポートが外部ネットワークやDMZに露出していないか即座にレビュー
  • 原則としてIMCの管理ポートは専用管理VLANに隔離し、インターネットに直接露出させない構成を徹底する

パッチ適用の手順

  • Cisco Security Advisoryから修正済みバージョンを確認
  • IMCのファームウェアアップデートはOSと独立して行えるが、メンテナンス窓口の設定が必要
  • ネットワーク的な隔離ができていない場合は、パッチ適用までの間IMCへのアクセスをACLで制限することを検討(根本解決にはならないが被害軽減に有効)

SSM On-Premの対応

  • CVE-2026-20160の影響を受けるSSM On-Premはエンタープライズ向けライセンス管理サーバーであり、Cisco製品を多数運用している企業ほど導入している可能性が高い。管理コンソールのURL露出状況を確認し、同様に即時パッチを適用すること。

筆者の見解

今回の一連の脆弱性で改めて浮き彫りになったのは、「インフラの管理プレーン」がいかに攻撃者に狙われやすいか、という現実だ。IMCのようなOOB管理機能はOSレイヤーより「下」に存在するため、EDR(Endpoint Detection & Response)などのセキュリティエージェントの監視対象外になることが多い。攻撃者にとっては「見えない経路」から侵入できる絶好の標的といえる。

ゼロトラストの文脈でも、「管理ネットワークの分離」と「BMC/IMC等のファームウェア管理」は優先度の高い課題として位置づけられているが、実態として後回しにされているケースが多い。今回のインシデントはその重要性を再認識させる機会だ。

また、Ciscoの開発環境がサプライチェーン攻撃(Trivyを悪用した認証情報窃取)によって侵害されたという報告も並行してなされており、単なる製品脆弱性の話にとどまらない。サプライチェーンセキュリティとインフラ管理の両面でリスク評価を見直す時期に来ている。

Ciscoを使い続けるエンジニアとしては、今後はIMCやSSM On-Premのようなインフラ管理コンポーネントのパッチ管理を、OSやアプリケーションと同列に扱う運用体制の構築が急務だと感じる。「ハードウェアは一度設定したら触らない」という古い慣習は、今の脅威環境には通用しない。

出典: この記事は Critical Cisco IMC auth bypass gives attackers Admin access の内容をもとに、筆者の見解を加えて独自に執筆したものです。