チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「サーバーの管理コントローラーに認証バイパスって、ハードウェアごと乗っ取られるの?」
「Cisco UCSを使っているけど、うちのサーバーも影響あるの?」
チップスボス!CiscoのIMCにCVSS 9.8の脆弱性が出たでしゅ!認証なしでAdmin権限が取れるって、それって最悪じゃないでしゅか!
ボス最悪だ。CVE-2026-20093は、HTTPリクエスト1つでサーバーの管理者権限を奪取できる。しかもIMCはハードウェアレベルの管理コントローラーだから、OS上のセキュリティ対策やEDRでは防げない。影響範囲もUCS C-Seriesだけでなく、多数のCisco製品に及ぶ。
2026年4月2日、CiscoはIMC(Integrated Management Controller)の認証バイパス脆弱性に対する修正ファームウェアを公開しました。
この脆弱性は認証なしでサーバーの完全な管理権限を奪われるもので、対象製品を使用している企業は速やかな対応が必要です。
Ciscoサーバー製品を運用中の方は、影響範囲を確認してください。
Cisco IMCは、サーバーのBIOS設定やファームウェア更新、電源管理などをリモートで行うための管理コントローラーです。
OSとは独立して動作するため、OS上のセキュリティ製品では検知も防御もできません。
この脆弱性は、IMCのXML APIがパスワード変更リクエストを処理する際の入力検証の不備が原因です。
攻撃者は認証なしで細工したHTTP POSTリクエストを送信し、任意のユーザー(Admin含む)のパスワードを変更できます。
影響を受ける主な製品は以下の通りです。
注意すべきは、UCS C-Seriesをベースにした他のCisco製品も影響を受ける点です。
IMCの管理画面が外部に公開されている場合、リスクは極めて高くなります。
チップスハードウェアの管理コントローラーが乗っ取られたら、OSを再インストールしても意味ないってことでしゅか…?
ボスその通りだ。IMCはOSの下のレイヤーで動いている。攻撃者がIMCを掌握すれば、サーバーの電源を操作したり、ファームウェアに細工したり、やりたい放題だ。だから深刻度が9.8なんだ。
Ciscoは2026年4月2日にファームウェアアップデートを公開しています。
対象製品を使用している場合は、最優先でアップデートを適用してください。
以下の手順での対応をおすすめします。
ハードウェア管理コントローラーへの攻撃は、従来のセキュリティ対策の盲点になりがちです。
サーバーを導入した際に「初期設定のまま」にしていないか、改めて確認しましょう。
ボスOS上の対策だけでは不十分だ。ハードウェア管理のレイヤーまで含めたセキュリティを考えろ。管理コントローラーの存在を忘れている企業は、予想以上に多い。
チップスサーバーの「裏口」みたいなものがあるなんて知らなかったでしゅ。管理画面が外に見えてないか、すぐ確認するでしゅ!
CVE-2026-20093は、サーバーのハードウェアレベルで完全な管理権限を奪われるという深刻な脆弱性です。
Cisco UCSシリーズや関連製品を運用している企業は、ファームウェアのアップデートとIMCの公開設定確認を早急に実施してください。
詳細はHelp Net Securityの報道で確認できます。
