Cisco SSM On-Prem und IMC: Kritische Sicherheitslücken – Jetzt patchen!

Anfang April gab Cisco zwei CVEs mit kritischem Schweregrad sowie weitere Schwachstellen mit hohem und mittlerem Schweregrad bekannt. Insgesamt ermöglichen die Schwachstellen eine Umgehung der Authentifizierung, Rechteausweitung auf ein Adminkonto, die Ausführung von Remote-Code (RCE) ohne Authentifizierung mit Root-Rechten, die Offenlegung von Informationen sowie Denial-of-Service-Zustände. Bei den beiden kritischen Schwachstellen handelt es sich um CVE-2026-20160 (CVSS 9,8), die Cisco Smart Software Manager On-Prem (SSM On-Prem) betrifft, und CVE-2026-20093 (CVSS 9,8), die Cisco Integrated Management Controller (IMC) betrifft.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält seit der Bekanntgabe der Schwachstellen die Erkennung von CVE-2026-20160 und CVE-2026-20093 und hilft Sicherheitsverantwortlichen so, diese sich entwickelnden Bedrohungen abzuwehren. Sicherheitsverantwortliche, die diese Schwachstellen erkennen und sich davor schützen möchten, können die Einstiegsversion OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.

CVE-2026-20160 und CVE-2026-20093 stellen erhebliche Bedrohungen für die Unternehmens-IT dar. Obwohl SSM On-Prem und IMC interne Netzwerkdienste sind, die nicht für die Öffentlichkeit bestimmt sind, könnten diese CVEs Angreifenden, die sich bereits heimlich Zugang verschafft haben, die Möglichkeit bieten, sich lateral zu wertvollen Assets zu bewegen.

Cisco IMC birgt ein besonders hohes Risiko, da es in physische Server- und Edge-Plattformen eingebettet ist, die sich oft in der Nähe der zentralen Unternehmens-Workloads befinden. Mit erreichtem Adminzugriff können Angreifende möglicherweise Dienste stören, in benachbarte Netzwerke vordringen oder das kompromittierte Gerät als Ausgangspunkt nutzen, um sensible interne Systeme anzugreifen. Wenn ein Zielnetzwerk nicht streng nach Abteilungen segmentiert ist oder wenn Zugriffskontrollen nicht streng nach dem Prinzip der geringsten Berechtigungen eingeschränkt sind, erhöht sich das Risiko zusätzlich.

Werfen wir nun einen Blick auf die beiden neuen kritischen CVEs mit und anschließend einige weitere CVEs, die Anfang April 2026 veröffentlicht wurden.

CVE-2026-20160 (CVSS 9.8): Unauthentifizierte RCE in Cisco SSM On-Prem

Ein offengelegter interner Dienst ermöglicht es nicht authentifizierten Angreifenden, beliebige Befehle auf dem zugrunde liegenden Betriebssystem mit Root-Rechten auszuführen. CVE-2026-20160 kann über HTTP-Anfragen an die API des offengelegten Dienstes ausgenutzt werden. Die Schwachstelle ist im Wesentlichen eine unsachgemäße Zugriffskontrolle, die Cisco als „Exposure of Resource to Wrong Sphere“ [CWE-668] klassifiziert hat. Betroffen sind die Versionen 9-202502 bis 9-202510 von Cisco Smart Software Manager On-Prem (SSM On-Prem).

Cisco SSM On-Prem ist ein lokal installierter Server zur Softwarelizenzverwaltung, der als virtuelle Maschine bereitgestellt wird. SSM On-Prem stellt eine Web-Benutzeroberfläche auf Port 8443 für Verwaltungs- und Lizenzierungsabläufe bereit. SSM On-Prem fungiert als lokaler Smart Licensing Manager für Cisco-Produkte, anstatt dass diese eine direkte Verbindung zum cloudbasierten Smart Software Manager von Cisco herstellen müssen.

Zu CVE-2026-20160 wurden mehrere nationale CERT-Hinweise veröffentlicht [1][2][3][4][5][6][7][8]. Eine aktive Ausnutzung, vollständige technische Details oder ein öffentlicher Proof-of-Concept-Exploit (PoC) sind jedoch nicht bestätigt. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung zur Identifizierung betroffener Instanzen [9]. Es wird empfohlen, auf Version 9-202601 oder höher zu aktualisieren. Weitere Informationen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.

CVE-2026-20093 (CVSS 9.8): Authentifizierungsumgehung im Cisco IMC

Eine unsachgemäße Eingabevalidierung [CWE-20] kann bei Passwortänderungsanfragen an den IMC zu einer Umgehung der Authentifizierung führen. Angreifende könnten diese Schwachstelle aus der Ferne über HTTP-Anfragen ausnutzen, um die Passwörter beliebiger Konten im System (einschließlich des Adminkontos) zu ändern und sich damit Zugriff auf das System zu verschaffen.

Cisco IMC ist ein eingebetteter Baseboard Management Controller (BMC), der in Cisco UCS-Rack- und Speicherserverplattformen integriert ist. Die Kernfunktion von Cisco IMC ist die Out-of-Band-Serververwaltung physischer Server, wenn diese im Standalone-Modus über den Redfish-RESTful-API-Standard, SNMP, IPMI v2.0 oder die Cisco IMC XML-API betrieben werden. Mehrere physische Serverprodukte von Cisco sind betroffen, sofern sie den Cisco Integrated Management Controller (IMC) enthalten:

• Enterprise Network Compute Systems (ENCS) der Serie 5000
• Catalyst 8300 Series Edge uCPE
• UCS C-Serie M5- und M6-Rack-Server im Standalone-Modus
• UCS-Server der E-Serie M3
• UCS-Server der E-Serie M6

Zu CVE-2026-20093 wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7]. Eine aktive Ausnutzung, vollständige technische Details oder ein öffentlicher Proof-of-Concept-Exploit (PoC) sind jedoch nicht bestätigt. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine aktive Überprüfung [9] und eine Remote-Banner-Versionsprüfung [10] für Geräte, die von CVE-2026-20093 betroffen sind. Weitere Informationen, einschließlich einer Liste der behobenen Versionen für betroffene Produkte, finden Sie in der offiziellen Sicherheitswarnung von Cisco.

Weitere Cisco-Schwachstellen: Hoher und mittlerer Schweregrad

Cisco hat außerdem mehrere Schwachstellen mit hohem und mittlerem Schweregrad offengelegt, die das Risiko für Unternehmenskundschaft erhöhen. Zwar erfordern alle unten aufgeführten CVEs einen gültigen Kontozugang, um ausgenutzt zu werden, doch ist der Diebstahl von Anmeldedaten eine gängige Taktik, die bei vielen raffinierten Cyberangriffen zum Einsatz kommt. Wenn diese Schwachstellen nicht gepatcht werden, könnten sie dennoch zur Ausführung von Befehlen, zur Rechteausweitung, zu Denial-of-Service-Angriffen oder zur Offenlegung sensibler Informationen führen.

• CVE-2026-20094 (CVSS 8.8): Eine Sicherheitslücke durch Befehlsinjektion aufgrund einer unzureichenden Validierung von Benutzereingaben [CWE-77] ermöglicht es authentifizierten Angreifenden aus der Ferne mit Lesezugriff, beliebige Befehle auf dem zugrunde liegenden Betriebssystem mit Root-Rechten auszuführen. Die Sicherheitslücke kann über HTTP-Anfragen ausgenutzt werden. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen ist in der offiziellen Sicherheitsmitteilung von Cisco verfügbar.
• CVE-2026-20155 (CVSS 8.0): Unsachgemäße Autorisierungsprüfungen [CWE-862] an einem API-Endpunkt ermöglichen es authentifizierten Angreifenden aus der Ferne mit geringen Berechtigungen, ohne Autorisierung auf sensible Informationen zuzugreifen. Die Schwachstelle betrifft die webbasierte Verwaltungsschnittstelle von Cisco Evolved Programmable Network Manager (EPNM)-Geräten vor Version 8.1.2 für alle Konfigurationen. Weitere Informationen finden Sie im offiziellen Advisory von Cisco.
• CVE-2026-20151 (CVSS 7.3): Aufgrund der unsachgemäßen Übertragung sensibler Benutzerinformationen [CWE-201] können Angreifende Sitzungsanmeldedaten aus Statusmeldungen abrufen, um ihre Berechtigungen von einem Konto mit geringen Berechtigungen auf Administratorrechte zu erhö Betroffen sind SSM On-Prem Version 9-202510 und frühere Versionen in allen Konfigurationen. Weitere Informationen finden Sie im offiziellen Advisory von Cisco.
• CVE-2026-20095 (CVSS 6.5): Aufgrund einer unsachgemäßen Validierung von Benutzereingaben können authentifizierte Remote-Nutzende beliebigen Code oder Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem eines betroffenen Systems ausführen und seine Berechtigungen erweitern. Die Schwachstelle ist über HTTP-Anfragen ausnutzbar. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.
• CVE-2026-20096 (CVSS 6.5): Aufgrund einer unzureichenden Validierung von Benutzereingaben können authentifizierte Remote-Admins beliebige Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem mit Root-Rechten ausführen. Die Schwachstelle ist über HTTP-Anfragen ausnutzbar. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS der Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen ist in der offiziellen Sicherheitsmitteilung von Cisco verfügbar.
• CVE-2026-20097 (CVSS 6.5): Aufgrund einer unzureichenden Validierung von Benutzereingaben können authentifizierte Remote-Admins beliebige Befehle [CWE-77] auf dem zugrunde liegenden Betriebssystem mit Root-Rechten ausführen. Betroffen ist die webbasierte Verwaltungsschnittstelle von Cisco IMC und Cisco Enterprise NFVIS Version 4.18.x und früher. Eine vollständige Liste der betroffenen Produkte und der behobenen Versionen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.
• CVE-2026-20110 (CVSS 6.5): Eine Schwachstelle in der CLI der Cisco IOS XE-Software könnte es authentifizierten lokalen Angreifenden ermöglichen, einen Denial-of-Service-Zustand (DoS) herbeizuführen. Diese Schwachstelle besteht, weil dem Befehl „start maintenance“ falsche Berechtigungen zugewiesen sind. Alle Versionen der Cisco IOS XE-Software sind betroffen, sofern der Befehl „start maintenance“ unterstützt wird. Weitere Informationen finden Sie in der offiziellen Sicherheitsmitteilung von Cisco.

Cisco hat den CVEs 2026-20095, 2026-20096 und 2026-20097 eine Sicherheitsauswirkungsbewertung (SIR) von „Hoch“ zugewiesen, was über ihrer CVSS-Einstufung von „Mittel“ liegt, da zusätzliche Sicherheitsauswirkungen bestehen, wenn Root-Zugriff erlangt wird. Der OPENVAS ENTERPRISE FEED enthält Erkennungstests für alle oben genannten CVEs [1][2][3][4][5].

Zusammenfassung

Die Sicherheitsmitteilungen von Cisco von Anfang April 2026 weisen auf ein erhöhtes Risiko bei mehreren Produkten hin. Dazu gehören der SSM On-Prem-Lizenzverwaltungsserver des Anbieters und der Cisco Integrated Management Controller (IMC), was eine Vielzahl physischer Hardwareprodukte betrifft, darunter Cisco UCS-Rack- und Speicherserverplattformen. Die schwerwiegendsten neuen Schwachstellen ermöglichen eine Umgehung der Authentifizierung und unauthentifizierte RCE mit Root-Rechten.

Obwohl eine öffentliche Ausnutzung noch nicht bestätigt wurde, handelt es sich bei den betroffenen Systemen um hochwertige interne Ressourcen, die attraktive Ziele für fortgeschrittene persistente Bedrohungsakteure (APT) darstellen. Unternehmen sollten prüfen, ob sie diesen und anderen Software-Schwachstellen ausgesetzt sind, und der Installation von Patches Priorität einräumen. Sicherheitsverantwortliche, die diese Schwachstellen erkennen und Schutzmaßnahmen ergreifen möchten, können die Einstiegsversion OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des ENTERPRISE FEED.