Угрозы Amazon Threat Intelligence предупредили об активной кампании вымогателя Interlock, эксплуатирующей недавно раскрытую критическую уязвимость в программном обеспечении Cisco Secure Firewall Management Center (FMC). Уязвимость, зарегистрированная как CVE-2026-20131 и имеющая максимальный балл CVSS 10.0, представляет собой небезопасную десериализацию пользовательских потоков байтов Java. Это позволяет неаутентифицированному удаленному злоумышленнику полностью обойти аутентификацию и выполнить произвольный код Java с привилегиями root на уязвимом устройстве. Согласно данным глобальной сенсорной сети Amazon MadPot, эта уязвимость эксплуатировалась в качестве «нулевого дня» (zero-day) в реальных условиях, начиная с 26 января 2026 года — более чем за месяц до публичного раскрытия информации Cisco.
Обнаружению этой активной эксплуатации значительно способствовала операционная ошибка самих угрозовых акторов. Неправильно сконфигурированный инфраструктурный сервер раскрыл операционный набор инструментов киберпреступной группы, предоставив исследователям Amazon детальное представление о их многоэтапной цепочке атаки. Этот набор инструментов включал специализированные трояны удаленного доступа (RAT), скрипты разведки и различные методы уклонения. CJ Moses, главный директор по информационной безопасности (CISO) Amazon Integrated Security, подчеркнул серьезность ситуации, заявив: «Это была не просто очередная эксплуатация уязвимости; у Interlock был нулевой день, что дало им недельную фору для компрометации организаций до того, как защитники даже узнали, что нужно искать». После этого открытия Amazon незамедлительно поделилась своими выводами с Cisco, чтобы помочь в расследовании и защите клиентов.
Техническая цепочка атаки начинается с того, что угрозовые акторы отправляют специально сформированные HTTP-запросы к определенному пути в уязвимом ПО Cisco FMC. Цель этого запроса — спровоцировать уязвимость небезопасной десериализации и добиться выполнения произвольного кода Java. После успешной компрометации зараженная система инициирует HTTP PUT-запрос к внешнему серверу управления и контроля (C2) для подтверждения эксплуатации. Впоследствии выдаются команды для загрузки ELF-бинарника с удаленного сервера. Этот сервер также размещает дополнительные инструменты, однозначно связанные с операцией вымогателя Interlock, причем связи установлены на основе сходящихся технических и операционных индикаторов.
Этот инцидент подчеркивает несколько критически важных уроков для сообщества кибербезопасности. Во-первых, он демонстрирует сохраняющуюся угрозу, исходящую от уязвимостей в цепочке поставок программного обеспечения и консолях управления, которые представляют собой высокоценные цели для групп вымогателей. Во-вторых, он показывает, как ошибки угрозовых акторов, такие как неправильно настроенные серверы, могут предоставить защитникам бесценную разведывательную информацию. Наконец, он подтверждает необходимость быстрого обмена разведданными об угрозах между частным сектором и вендорами для смягчения атак до того, как исправления будут широко применены. Организациям, использующим Cisco FMC, настоятельно рекомендуется немедленно применить соответствующие обновления безопасности, если они еще не сделали этого, и отслеживать свои сети на предмет любых признаков описанной цепочки компрометации.
