事情是这样的
4月初,思科悄悄发布了一波安全更新。
两个评分高达9.8分(满分10分)的漏洞,被安静地塞进了补丁包里。9.8分是什么概念?基本等同于”大门敞开,等你进来”。
加上其他6个高危漏洞,思科这次一口气修了8个口子。
两个9.8分漏洞是怎么回事
第一个:CVE-2026-20093
影响产品是Cisco Integrated Management Controller,简称IMC——这是思科服务器的管理后台,大量企业用它来管理刀片服务器和整机服务器。
问题出在密码修改请求的处理逻辑上。远程攻击者只要构造一个特殊的HTTP请求,就能绕过身份验证,直接修改任意用户密码,包括管理员。
密码一改,管理员账号就是你的了。整台服务器的管理权限,说拿就拿。
第二个:CVE-2026-20160
这个影响的是SSM On-Prem,同样是管理工具。
漏洞原因是API请求处理有缺陷,未认证的攻击者发送特殊构造的API请求,可以在主机操作系统上以root权限执行命令。
root权限意味着什么?整台服务器都是你的,想装什么装什么,想删什么删什么。
两个漏洞都是远程利用,不需要任何前期权限,攻击门槛极低。
还记得上个月的零日吗
今年3月,思科还修过一个更狠的——CVE-2026-20131,CVSS评分10.0分,满分。
这个漏洞已经被勒索软件Interlock真刀真枪地用过了。美国网络安全和基础设施安全局(CISA)给联邦机构下了3天修复通牒——可见紧急程度。
一个月内连续出两个9.8加一个10.0,思科设备的管理后台这段时间堪称多事之秋。
现在该做什么
第一步:登录思科官方漏洞数据库,查询你目前在用的思科产品版本是否在受影响列表里。IMC和SSM On-Prem是重灾区,如果用的是这两款,立刻查补丁。
第二步:确认补丁是否已更新。思科的安全更新一般随着系统升级包推送,管理后台应该有升级入口。别拖延,这种漏洞一旦有POC(概念验证代码)公开,扫描攻击会在24小时内出现。
第三步:检查管理后台的访问控制。如果IMC或SSM的管理端口暴露在公网,赶紧收紧访问策略,最好限定在特定IP或VPN后面。
第四步:开启登录告警。管理后台的登录成功/失败记录要重点关注,发现异常异地登录立刻告警。
设备安全不是装完就完的事
很多企业服务器上线后,管理员后台的默认端口一开就是几年,补丁永远不打最新。
这种”只要能用就不动”的心态,在远程代码执行漏洞面前等于裸奔。9.8分的漏洞利用难度很低,攻击者不需要什么高级装备,扫描器一跑就能批量找到目标。
定期巡检、及时打补丁,这件事说了一万遍,但每次真出事都是因为没做。
你们公司有专门的服务器安全巡检机制吗?还是”只要能用就不管”?欢迎留言聊聊。
