Сложная операция ransomware, идентифицированная как Interlock, была замечена в эксплуатации критической уязвимости нулевого дня в программном обеспечении Cisco Firepower Management Center (FMC). Уязвимость, зарегистрированная как CVE-2026-20131, предоставляет злоумышленникам доступ уровня root к базовой хост-системе, создавая мощный плацдарм внутри корпоративных сетей. Эта эксплуатация знаменует собой значительную эскалацию в таргетировании устройств управления сетью, которые часто считаются доверенной инфраструктурой. Исследователи безопасности из группы анализа угроз (TAG) Google первыми идентифицировали атаки в дикой природе, отметив, что полезная нагрузка ransomware развертывается после того, как злоумышленники полностью скомпрометировали сервер FMC.
Уязвимость существует в веб-интерфейсе управления FMC. Отправляя специально сформированный HTTP-запрос, неаутентифицированный удаленный злоумышленник может выполнять произвольные команды с наивысшими привилегиями на хостовой операционной системе. Cisco FMC является центральной нервной системой для управления межсетевыми экранами Cisco Firepower следующего поколения (NGFW), что означает, что компрометация обеспечивает видимость и потенциальный контроль над всей периметровой безопасностью организации. Акторы Interlock использовали этот доступ не только для развертывания ransomware, но и для проведения масштабной разведки, латерального перемещения к другим критическим активам и эксфильтрации конфиденциальных данных перед шифрованием.
Появление эксплуатации CVE-2026-20131 подчеркивает опасную тенденцию, когда субъекты угроз все чаще фокусируются на самом программном обеспечении безопасности и управления. Компрометация такого инструмента, как FMC, позволяет злоумышленникам отключать политики безопасности, обходить логирование и скрывать свои действия, что чрезвычайно затрудняет обнаружение и реагирование. Организации настоятельно рекомендуют немедленно применить официальный патч, выпущенный Cisco в бюллетене безопасности cisco-sa-fmc-cmd-inj-XXXXX. Если немедленное исправление невозможно, Cisco рекомендует ограничить сетевой доступ к веб-интерфейсу FMC только доверенными исходными IP-адресами в качестве критической меры снижения риска.
Этот инцидент служит stark напоминанием о том, что инструменты безопасности, предназначенные для защиты среды, сами могут стать целями высокой ценности. Стратегия глубокой эшелонированной обороны имеет paramount значение, которая включает сегментацию сети для изоляции интерфейсов управления, строгий контроль доступа, многофакторную аутентификацию и непрерывный мониторинг аномальной активности на всех системах, особенно административных. Быстрое превращение этой уязвимости нулевого дня в оружие группой ransomware подчеркивает необходимость для поставщиков и предприятий ускорять циклы управления исправлениями и предполагать, что уязвимости в критической инфраструктуре будут найдены и использованы противниками.
