Уязвимость в Cisco FMC: Interlock использовали её за недели до выхода заплатки (CVE-2026-20131)

Критическая уязвимость (CVE-2026-20131) в Cisco Secure Firewall Management Center (FMC), о которой Cisco сообщила и выпустила патчи в начале марта 2026 года, эксплуатировалась группой вымогателей Interlock в качестве zero-day. Об этом сообщил вице-президент по информационной безопасности и главный инженер по безопасности Amazon, CJ Moses.

«Наше исследование с использованием системы ловушек MadPot от Amazon показало, что Interlock использовала эту уязвимость за 36 дней до её публичного раскрытия, начиная с 26 января 2026 года», — заявил он в среду.

CVE-2026-20131 эксплуатировалась как zero-day в течение нескольких недель

Cisco Secure Firewall Management Center используется организациями для централизованного управления устройствами Cisco Secure Firewall.

CVE-2026-20131 затрагивает веб-интерфейс управления FMC и возникает из-за небезопасной десериализации Java-потока, предоставленного пользователем.

Уязвимость может быть использована неаутентифицированными удалёнными злоумышленниками путём отправки специально созданного сериализованного Java-объекта на интерфейс управления уязвимого устройства. Это может привести к выполнению произвольного кода и повышению привилегий до уровня root.

Cisco узнала об уязвимости CVE-2026-20131 после того, как её обнаружил член группы Advanced Security Initiatives Group в ходе внутреннего тестирования безопасности. К сожалению, похоже, что Interlock нашла её раньше.

«Угрозовая разведка Amazon выявила подозрительную активность, потенциально связанную с CVE-2026-20131, начиная с 26 января 2026 года, что предшествовало публичному раскрытию. Наблюдаемая активность включала HTTP-запросы к определённому пути в уязвимом ПО», — поделился Moses.

«Тела запросов содержали попытки выполнения Java-кода и две встроенные ссылки: одна использовалась для доставки конфигурационных данных, поддерживающих эксплуатацию, а другая была предназначена для подтверждения успешной атаки путём загрузки сгенерированного файла через HTTP PUT-запрос от уязвимой цели.»

Инструменты Interlock раскрыты

Исследователи AWS смоделировали успешную эксплуатацию, заставив злоумышленников загрузить вредоносный исполняемый файл для Linux с удалённого сервера. Проанализировав этот сервер, они обнаружили, что он является центральным узлом для инструментов атакующих, организованных по жертвам, и используется как для отправки вредоносного ПО на заражённые системы, так и для получения от них данных.

Вредоносное ПО, другие обнаруженные артефакты и записка с требованием выкупа указывали на причастность Interlock.

Исследователи обнаружили:

• Скрипт PowerShell, который группа использует для перечисления и сбора информации о хостах Windows в целевой сети
• Троян удаленного доступа на JavaScript, собирающий данные о зараженных системах (с функциями самообновления и самоудаления)
• Внедренный модуль на Java, который настраивает резервные каналы управления и связи
• Скрипт Bash, превращающий скомпрометированный Linux-сервер во временный ретранслятор для анонимизации атак, пересылки вредоносного трафика и постоянного удаления следов, что затрудняет отслеживание активности злоумышленников
• Резидентный в памяти веб-шелл/бэкдор
• Легковесный сетевой маячок, подтверждающий успешное выполнение кода или доступность сетевого порта после первоначальной эксплуатации

Interlock также использует легитимные инструменты, такие как ConnectWise ScreenConnect (для резервного удаленного доступа), Volatility (для анализа дампов памяти в поисках конфиденциальных данных) и Certify (для выявления уязвимых шаблонов сертификатов и прав на их регистрацию).

Меры по смягчению и устранению угроз

AWS предоставила индикаторы компрометации, которые специалисты по безопасности могут проверить в своих журналах, а также дала рекомендации по немедленным действиям и долгосрочным мерам.

«Реальная история здесь не только об одной уязвимости или одной группе вымогателей — она о фундаментальной проблеме, которую эксплойты нулевого дня создают для любой модели безопасности. Когда атаки используют уязвимости до выхода заплаток, даже самые тщательные программы обновлений не могут защитить в этот критический промежуток времени», — отметил Мозес.

«Именно поэтому глубокоэшелонированная защита необходима — многоуровневые средства безопасности обеспечивают защиту, когда любой отдельный контроль дает сбой или еще не развернут. Быстрое применение исправлений остается основой управления уязвимостями, но глубокая защита помогает организациям не оставаться беззащитными в период между появлением эксплойта и выпуском патча».

Cisco обновила бюллетень, сообщив, что ей стало известно об активной эксплуатации CVE-2026-20131, а Агентство США по кибербезопасности и безопасности инфраструктуры предписало федеральным гражданским агентствам устранить CVE-2026-20131 до 22 марта 2026 года.

«Если интерфейс управления FMC не имеет доступа к публичному интернету, связанная с этой уязвимостью поверхность атаки сокращается», — отметила Cisco в своем бюллетене.

CVE-2026-20131 — это третья по счёту уязвимость Cisco, которую злоумышленники использовали в качестве zero-day с начала текущего года. Ранее атаки проводились с использованием CVE-2026-20127 (в контроллере Cisco Catalyst SD-WAN), CVE-2026-20045 (в решениях для унифицированных коммуникаций компании) и CVE-2025-20393 (в устройствах Email Security Gateway, а также Secure Email and Web Manager).

Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Оформите подписку здесь!