أصدرت أمازون للاستخبارات التهديدية تحذيراً بشأن حملة نشطة لبرنامج الفدية "إنترلوك" تستغل ثغرة أمنية حرجة تم الكشف عنها مؤخراً في برنامج Cisco Secure Firewall Management Center (FMC). تم تتبع هذه الثغرة تحت معرف CVE-2026-20131 وتحمل أعلى درجة في سلم CVSS وهي 10.0، وهي عبارة عن ثغرة "عدم أمان في إزالة التسلسل" (insecure deserialization) في معالجة تدفقات بايت جافا التي يزودها المستخدم. هذا يسمح لمهاجم بعيد وغير مصادق عليه بتجاوز المصادقة تماماً وتنفيذ كود جافا عشوائي بصلاحيات مستوى الجذر على الجهاز المعرض للخطر. وفقاً للبيانات الصادرة عن شبكة أجهزة الاستشعار العالمية "مادبوت" التابعة لأمازون، تم استغلال هذه الثغرة كـ "صفر يوم" (zero-day) في الواقع بدءاً من 26 يناير 2026—أي قبل أكثر من شهر من الإفصاح العلني عنها من قبل سيسكو.
وساعد في اكتشاف هذا الاستغلال النشط خطأ فادح في الأمن التشغيلي من قبل الجهات الفاعلة المهددة نفسها. حيث كشف خادم بنية تحتية مُهيأ بشكل خاطئ عن مجموعة الأدوات التشغيلية لعصابة الجريمة الإلكترونية، مما وفر لباحثي أمازون رؤى مفصلة حول سلسلة هجومهم متعددة المراحل. وشملت هذه المجموعة أحصنة طروادة للوصول عن بُعد مخصصة، ونصوص استطلاع، وتقنيات مختلفة للتجنب. وأكد CJ Moses، الرئيس التنفيذي لأمن المعلومات (CISO) في الأمن المتكامل بأمازون، على خطورة الموقف قائلاً: "لم يكن هذا مجرد استغلال آخر للثغرات؛ لقد كان لدى إنترلوك ثغرة صفر يوم بين أيديهم، مما منحهم سبقاً لمدة أسبوع لاختراق المنظمات قبل أن يعرف المدافعون حتى ما يبحثون عنه." وعقب هذا الاكتشاف، شاركت أمازون نتائجها على الفور مع سيسكو لمساعدتهم في التحقيق وحماية العملاء.
تبدأ سلسلة الهجوم الفنية بإرسال الجهات الفاعلة المهددة لطلبات HTTP مصممة خصيصاً إلى مسار محدد داخل برنامج Cisco FMC المعرض للثغرة. الهدف من هذا الطلب هو تشغيل ثغرة عدم أمان إزالة التسلسل وتحقيق تنفيذ كود جافا عشوائي. بعد الاختراق الناجح، يبدأ النظام المصاب طلب HTTP PUT إلى خادم تحكم وأمر (C2) خارجي لتأكيد الاستغلال. بعد ذلك، يتم إصدار أوامر لتنزيل ملف ثنائي من نوع ELF من خادم بعيد. يستضيف هذا الخادم أيضاً أدوات إضافية مرتبطة بشكل قاطع بعملية برنامج الفدية إنترلوك، حيث تم إثبات الروابط من خلال مؤشرات تقنية وتشغيلية متقاربة.
يبرز هذا الحادث عدة دروس بالغة الأهمية لمجتمع الأمن السيبراني. أولاً، يؤكد على التهديد المستمر الذي تشكله ثغرات سلسلة توريد البرامج ووحدات التحكم الإدارية، والتي توفر أهدافاً عالية القيمة لمجموعات برامج الفدية. ثانياً، يوضح كيف يمكن لأخطاء الجهات الفاعلة المهددة، مثل الخوادم ذات التهيئة الخاطئة، أن توفر ذكاءً لا يقدر بثمن للمدافعين. أخيراً، يعزز ضرورة المشاركة السريعة لاستخبارات التهديدات بين كيانات القطاع الخاص والبائعين للتخفيف من الهجمات قبل أن يمكن تطبيق التحديثات الأمنية على نطاق واسع. يُحث المنظمات التي تستخدم Cisco FMC على تطبيق التحديثات الأمنية ذات الصلة على الفور إذا لم تكن قد فعلت ذلك بالفعل، ومراقبة شبكاتها لأي علامات على سلسلة الاختراق الموضحة.
