Cisco schließt kritische Lücken in Server-Management

Netzwerk-Riese warnt vor Angriffen mit höchster Gefahrenstufe – Update sofort einspielen

Cisco Systems hat eine Serie von Notfall-Updates veröffentlicht, um kritische Sicherheitslücken in seiner Enterprise-Management- und Server-Hardware zu schließen. Am Mittwoch, dem 1. April 2026, meldete der Netzwerkausrüster mehrere hochriskante Schwachstellen, darunter eine mit nahezu perfekter Gefahrenbewertung für den Integrated Management Controller (IMC). Die Patches kommen in einer angespannten Bedrohungslage – Sicherheitsforscher und Behörden drängen auf sofortiges Handeln, um unbefugten Zugriff auf Kern-Infrastrukturen zu verhindern.

Während große Netzwerke durch kritische Sicherheitslücken bedroht sind, rücken auch gezielte Phishing-Angriffe auf Unternehmen immer stärker in den Fokus von Cyberkriminellen. Dieser kostenlose Leitfaden zeigt Verantwortlichen in vier Schritten, wie sie ihr Unternehmen effektiv gegen Manipulationstaktiken und Hacker-Angriffe absichern. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern

Kritische Lücke: Angreifer übernehmen Server komplett

Im Zentrum der Sicherheitswarnung steht eine Authentifizierungsumgehung im Cisco Integrated Management Controller (CVE-2026-20093). Die Schwachstelle erhielt den nahezu maximalen CVSS-Score von 9,8 von 10 Punkten. Das zeigt: Sie ist extrem gefährlich und einfach auszunutzen.

Der IMC ist ein Hardware-Modul auf den Motherboards von Cisco-Servern. Er ermöglicht Administratoren das Out-of-Band-Management – also die Verwaltung von Systemen, selbst wenn das Hauptbetriebssystem ausgefallen ist. Genau diese tiefgreifende Hardware-Zugriffsebene macht die Lücke so brisant.

Wie der Angriff funktioniert: Ein nicht authentifizierter Angreifer kann speziell präparierte HTTP-Anfragen an ein betroffenes Gerät senden. Gelingt der Angriff, umgeht er sämtliche Authentifizierung, ändert Passwörter beliebiger Benutzer – auch mit Admin-Rechten – und erlangt so die vollständige Kontrolle.

Betroffen sind unter anderem:
* UCS C-Series M5 und M6 Rack Server
* UCS E-Series Server
* Catalyst 8300 Series Edge uCPE

Cisco bestätigt: Es gibt keine Workarounds. Nur das Einspielen der Software-Updates schützt.

Zweite Gefahr: Fernzugriff auf Lizenz-Management

Parallel schloss Cisco eine kritische Remote-Code-Ausführung-Schwachstelle in Smart Software Manager On-Prem (SSM On-Prem) (CVE-2026-20160). Angreifer könnten damit beliebige Befehle mit Root-Rechten auf dem Betriebssystem ausführen.

SSM On-Prem wird von großen Unternehmen zur lokalen Verwaltung von Cisco-Softwarelizenzen genutzt. Die Schwachstelle liegt in einem fälschlich exponierten internen Dienst, der API-Anfragen nicht ausreichend prüft. Ein erfolgreicher Angriff könnte zur vollständigen Übernahme des SSM On-Prem-Hosts führen – und als Sprungbrett ins Unternehmensnetzwerk dienen.

Zusätzlich wurde eine Rechteausweitung in derselben Plattform behoben. Selbst ein authentifizierter Benutzer mit niedrigen Rechten könnte so Administrator-Rechte erlangen.

Hintergrund: Angriffe auf Management-Ebenen nehmen zu

Die entdeckten Schwachstellen spiegeln einen wachsenden Trend wider: Cyberkriminelle zielen verstärkt auf Management-Ebenen und Out-of-Band-Controller ab. Warum? Perimeter-Verteidigungen werden robuster, also suchen Angreifer Lücken in den Werkzeugen, die das Netzwerk selbst verwalten.

Diese Schnittstellen – wie der IMC oder SSM On-Prem – sind besonders heikel: Sie benötigen hohe Privilegien für ihren Betrieb, werden aber oft von traditionellen Sicherheitsscans übersehen. Sie gehören zur sogenannten „Schatten-IT“.

Der Schutz der IT-Infrastruktur wird für Unternehmen immer komplexer, da Angreifer gezielt nach Schwachstellen in Management-Systemen suchen. Ein aktuelles Gratis-E-Book liefert Geschäftsführern und IT-Verantwortlichen wertvolle Einblicke in neue Bedrohungsszenarien und zeigt kostengünstige Wege zur proaktiven Absicherung auf. Gratis-E-Book: Cyber-Security-Trends 2024 jetzt herunterladen

Die aktuelle Patch-Welle fällt zudem mit spektakulären Hacker-Behauptungen zusammen. Zwischen dem 31. März und 2. April 2026 meldete die Gruppe ShinyHunters, sie habe Ciscos interne Infrastruktur angegriffen und Millionen Datensätze erbeutet. Cisco hat die aktuellen Patches zwar nicht direkt mit dieser Gruppe in Verbindung gebracht. Doch die zeitliche Nähe erhöht die Dringlichkeit in der Sicherheits-Community spürbar.

Was Unternehmen jetzt tun müssen

Die Empfehlungen von Cisco und unabhängigen Sicherheitsexperten sind eindeutig:

1. Priorisieren Sie Patches für internet-exponierte Management-Schnittstellen
2. Prüfen Sie, ob IMC-Verwaltungsports vom öffentlichen Internet erreichbar sind
3. Schränken Sie den Zugriff sofort über Access Control Lists (ACLs) oder VPNs ein, bis Firmware-Updates eingespielt sind
4. Implementieren Sie Multi-Faktor-Authentifizierung (MFA) für alle Management-Portale
5. Überwachen Sie ungewöhnlichen API-Datenverkehr und unbefugte Passwortänderungsversuche

Die Cybersecurity and Infrastructure Security Agency (CISA) hatte bereits Ende März 2026 vor der Ausnutzung älterer Cisco-Firewall-Lücken gewarnt. Die schnelle Abfolge der Sicherheitsmeldungen deutet darauf hin: Ciscos Produktsicherheitsteams befinden sich in einer Phase intensiver Überprüfungen – oder reagieren auf eine Flut extern gemeldeter Fehler.

Für 2026 erwarten Experten einen anhaltenden Fokus auf Supply-Chain- und Management-Software-Sicherheit. Denn mit zunehmender Automatisierung und softwaredefinierter Vernetzung wird die Sicherheit der zugrundeliegenden Management-Plattformen zum Eckpfeiler der gesamten Netzwerkintegrität.

boerse | 69060848 |