【漏洞通告】Cisco IMC命令注入漏洞（CVE-2024-20356）

May 27, 2024 #科技

一、漏洞概述

Cisco Integrated Management Controller（簡稱IMC）是一種底板管理控制器，用於通過多個接口管理 UCS C系列機架和UCS S系列儲存伺服器，包括 XML API、Web (WebUI) 和命令列 (CLI) 接口。

2024年4月22日，啟明星辰VSRC監測到Cisco IMC命令注入漏洞（CVE-2024-20356，CVSS評分8.7）的PoC/EXP在網際網路上公開。

由於對使用者提供的輸入驗證不足，思科集成管理控制器 (IMC) 基於Web的管理界面中存在命令注入漏洞，經過身份驗證且具有管理員級別許可權的遠端威脅者可通過向受影響軟體的基於Web的管理界面發送惡意設計的命令來利用該漏洞，成功利用可能導致將許可權提升至root。

二、影響範圍

如果以下Cisco產品在默認配置中運行易受攻擊的 Cisco IMC 版本，則此漏洞會影響這些產品：

5000系列企業網路計算系統 (ENCS)

Catalyst 8300系列Edge uCPE

獨立模式下的UCS C系列 M5、M6 和M7機架伺服器

UCS E系列伺服器

獨立模式下的 UCS S系列儲存伺服器

注：該漏洞不同於Cisco IMC CLI命令注入漏洞（CVE-2024-20295）。

基於上述Cisco UCS C系列伺服器之一的預配置版本的思科設備如果公開對 Cisco IMC UI 的訪問，也會受到該漏洞的影響，受影響產品列表及其修復版本可參考官方公告：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-bLuPcb

目前該漏洞已經修復，受影響使用者可升級到以下版本（部分）：

受影響產品/設備	受影響版本	修復版本
Cisco 5000 Series ENCS 和Catalyst 8300 Series Edge uCPE	思科 NFVIS 版本=3.12	遷移到固定版本。
思科 NFVIS 版本=4.13	4.14.1
Cisco UCS C-Series M5 Rack Server	思科 IMC 版本4.0	遷移到固定版本。
思科 IMC 版本4.1	4.1(3n)
思科 IMC 版本4.2	4.2(3j)
思科 IMC 版本4.3	4.3(2.240009)
Cisco UCS C-Series M6 Rack Server	思科 IMC 版本4.2	4.2(3j)
思科 IMC 版本4.3	4.3(2.240009) 4.3(3.240022)
Cisco UCS C-Series M7 Rack Server	思科 IMC 版本4.3	4.3(3.240022)
Cisco UCS E-Series M2 和M3 Server	思科 IMC 版本= 3.1	遷移到固定版本。
思科 IMC 版本3.2	3.2.15.3
Cisco UCS E-Series M6 Server	思科 IMC 版本= 4.12	4.12.2
Cisco UCS S-Series Storage Server	思科 IMC 版本4.0	遷移到固定版本。
思科 IMC 版本4.1	4.1(3n)
思科 IMC 版本4.2	4.2(3k)
思科 IMC 版本4.3	4.3(2.240009) 4.3(3.240041)

暫無。

定期更新系統補丁，減少系統漏洞，提升伺服器的安全性。

加強系統和網路的訪問控制，修改防火牆策略，關閉非必要的應用埠或服務，減少將危險服務（如SSH、RDP等）暴露到公網，減少攻擊面。

使用企業級安全產品，提升企業的網路安全性能。

加強系統使用者和許可權管理，啟用多因素認證機制和最小許可權原則，使用者和軟體許可權應保持在最低限度。

啟用強密碼策略並設置為定期修改。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-bLuPcb

https://github.com/nettitude/CVE-2024-20356