Un devastante uno-due mette in ginocchio il colosso informatico Cisco. L’azienda ha appena lanciato un aggiornamento d’emergenza per chiudere nove pericolosissime vulnerabilità nei sistemi che gestiscono le reti di governi e multinazionali: un accesso libero e non autorizzato che permette agli hacker di bypassare le password e prendere il controllo totale dei server da remoto. Ma il peggio è un altro: Cisco ha ufficialmente confermato di essere stata vittima di un massiccio attacco informatico. Sfruttando credenziali rubate, i pirati informatici sono riusciti a trafugare oltre 300 archivi segreti, portandosi via progetti di intelligenza artificiale avanzata e delicatissimi codici sorgente appartenenti a banche e agenzie governative americane. Un disastro di sicurezza con ripercussioni ancora incalcolabili. Cisco ha rilasciato il 1 aprile 2026 una nuova ondata di advisory che corregge vulnerabilità ad alto impatto in Cisco Integrated Management Controller, Nexus Dashboard, Evolved Programmable Network Manager e Smart Software Manager On-Prem. Il pacchetto di fix arriva in un momento particolarmente delicato perché coincide con le conseguenze dell’incidente emerso il 31 marzo, quando attaccanti legati alla supply chain compromessa di Trivy hanno sottratto codice sorgente e credenziali dal suo ambiente di sviluppo. La combinazione tra falle critiche nei prodotti enterprise e furto di repository interni rende questa tornata di aggiornamenti una delle più importanti dell’anno per gli ambienti Cisco on-premise e per le infrastrutture di gestione di rete usate da aziende, enti pubblici e organizzazioni sensibili.
Cosa leggere
Cisco IMC è il fronte più critico con auth bypass e comandi eseguiti come root
Il gruppo di vulnerabilità più grave riguarda Cisco IMC, il controller di gestione integrato usato in numerosi server e appliance Cisco. La falla più pericolosa è CVE-2026-20093, con CVSS 9.8, che consente a un attaccante remoto non autenticato di abusare della funzione di cambio password e ottenere accesso come utente amministratore. In pratica basta una richiesta HTTP appositamente costruita per alterare le credenziali e prendere il controllo dell’interfaccia di gestione. In contesti reali questo significa esposizione diretta di server UCS C-Series, appliance HyperFlex, Catalyst Center, Secure Firewall Management Center e altri sistemi basati sulle stesse piattaforme hardware. Cisco non indica workaround efficaci e spinge direttamente all’aggiornamento delle release corrette, perché l’impatto operativo è estremamente alto.
Le falle XSS in Cisco IMC ampliano il rischio di compromissione dell’interfaccia web
Accanto all’auth bypass, Cisco IMC corregge anche cinque vulnerabilità cross-site scripting. La CVE-2026-20085 permette un reflected XSS sfruttabile anche contro utenti non autenticati, mentre CVE-2026-20087, 20088, 20089 e 20090 sono stored XSS che richiedono un contesto autenticato ma possono colpire amministratori e operatori con privilegi elevati. Queste falle non danno da sole il controllo completo del sistema come l’auth bypass o la command injection, ma sono molto pericolose in ambienti enterprise perché possono rubare sessioni, eseguire script nel browser dell’amministratore e aprire la porta a ulteriori abusi dell’interfaccia di gestione. Il rischio aumenta se il pannello IMC è esposto in reti condivise o viene amministrato da più operatori.
Le vulnerabilità di command injection in IMC permettono RCE come root
Il terzo blocco di problemi in Cisco IMC riguarda le vulnerabilità CVE-2026-20094, 20095, 20096 e 20097, che consentono command injection ed esecuzione di codice arbitrario nel sistema operativo sottostante. Il caso più interessante è CVE-2026-20094, perché secondo Cisco può essere sfruttata anche da un utente con privilegi read-only, non solo da un amministratore pieno. Le altre tre falle richiedono permessi amministrativi, ma una volta sfruttate permettono comandi arbitrari come root. In un ambiente già esposto da credenziali deboli o da una compromissione precedente, questo significa controllo completo della macchina e possibilità di installare persistenza, alterare configurazioni o muoversi lateralmente verso altri asset del data center.
EPNM espone informazioni di sessione e può facilitare il takeover amministrativo
Anche Cisco Evolved Programmable Network Manager riceve una patch importante con CVE-2026-20155, vulnerabilità di improper authorization con CVSS 8.0. Il problema nasce da un endpoint REST API che non applica correttamente i controlli di autorizzazione e permette a un utente autenticato con privilegi bassi di accedere ai dettagli di sessione di altri utenti attivi, compresi gli amministratori. In termini pratici, un account limitato può ottenere visibilità su informazioni molto sensibili che possono essere usate per facilitare escalation, hijacking di sessione o analisi dei pattern operativi del team di gestione rete. Per una piattaforma che governa infrastrutture su larga scala, anche una “sola” esposizione di session data rappresenta un rischio serio.
Nexus Dashboard e Insights correggono file write, SSRF e accesso improprio ai backup
Sul fronte Cisco Nexus Dashboard e Nexus Dashboard Insights, Cisco chiude tre falle diverse ma molto rilevanti. La CVE-2026-20174 in Nexus Dashboard Insights consente a un amministratore autenticato di caricare un file di metadata update artigianale e scrivere file arbitrari sul sistema come root, un vettore particolarmente critico negli ambienti air-gapped dove gli aggiornamenti vengono spesso caricati manualmente. La CVE-2026-20041 introduce invece un problema di server-side request forgery che permette a un attaccante remoto non autenticato di indurre il dispositivo a inviare richieste arbitrarie a server controllati esternamente, a condizione di riuscire a far interagire un utente autenticato con un link costruito ad hoc. A questo si aggiunge CVE-2026-20042, una vulnerabilità nella gestione dei backup di configurazione che può esporre dettagli di autenticazione interni a chi possiede la password di cifratura e un file di backup. In ambienti enterprise, dove backup e procedure di disaster recovery sono centrali, questo punto non va sottovalutato.
Smart Software Manager On-Prem espone una RCE non autenticata con impatto massimo
Tra tutte le advisory del blocco aprile, una delle più pericolose è quella che colpisce Cisco Smart Software Manager On-Prem. La CVE-2026-20160, con CVSS 9.8, permette a un attaccante remoto non autenticato di inviare una richiesta appositamente preparata a un servizio interno esposto e ottenere esecuzione arbitraria di comandi come root. La gravità è evidente: non servono credenziali, non servono interazioni utente e l’attaccante può arrivare direttamente al controllo del sistema operativo. Accanto a questa falla, Cisco corregge anche CVE-2026-20151, un problema di privilege escalation che consente a un utente autenticato con ruolo ridotto di recuperare credenziali di sessione da messaggi di stato successivi e salire fino a privilegi amministrativi. Insieme, queste due falle rendono SSM On-Prem un punto di attenzione assoluta per i team di sicurezza.
Il caso Trivy complica il quadro perché colpisce l’ambiente di sviluppo Cisco
A rendere ancora più delicata la situazione c’è il breach collegato alla compromissione della supply chain di Trivy. Secondo quanto emerso il 31 marzo 2026, attaccanti che avevano ottenuto credenziali attraverso la GitHub Action malevola legata a Trivy sono riusciti a entrare nell’ambiente di sviluppo di Cisco, clonare oltre 300 repository GitHub e sottrarre anche chiavi AWS usate poi per attività non autorizzate su un numero limitato di account cloud interni. Tra i repository sottratti figurerebbero progetti legati ai prodotti AI di Cisco, oltre a codice appartenente a clienti di settori bancari, BPO e agenzie governative statunitensi. Cisco ha isolato i sistemi interessati, avviato il reimaging di workstation e rotazioni su larga scala delle credenziali, ma il caso mostra con chiarezza quanto le campagne supply chain possano estendersi oltre il perimetro iniziale e trasformarsi in compromissioni di ambienti di sviluppo critici.
Le patch Cisco vanno trattate come priorità operativa immediata
Il messaggio finale è molto chiaro. Le vulnerabilità corrette da Cisco non sono semplici bug di contorno, ma problemi che in diversi casi permettono bypass di autenticazione, RCE come root, scrittura arbitraria di file, escalation di privilegi e furto di informazioni di sessione su piattaforme che amministrano server, licenze, fabric e dashboard di rete. Anche se Cisco dichiara di non essere a conoscenza di sfruttamento attivo al momento della pubblicazione delle advisory, il livello dei CVSS e la natura dei prodotti coinvolti impongono una remediation rapida. Gli amministratori dovrebbero verificare immediatamente le versioni di IMC, Nexus Dashboard, EPNM e SSM On-Prem, pianificare gli upgrade alle release corrette e controllare con attenzione eventuali indicatori di compromissione nei sistemi esposti. In parallelo, l’incidente Trivy ricorda che la sicurezza non finisce con il patching dei dispositivi: anche pipeline CI/CD, GitHub Actions, credenziali cloud e ambienti di sviluppo devono ormai essere considerati parte integrante della superficie d’attacco enterprise.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
