Сложная операция по вымогательству, известная как Interlock, активно эксплуатировала критическую уязвимость в программном обеспечении Cisco Secure Firewall Management Center (FMC) до того, как компания выпустила официальный патч. Согласно отчетам разведки угроз, группа использовала эту уязвимость максимальной серьезности, позволяющую выполнять произвольный код удаленно (RCE), отслеживаемую как CVE-2026-20131, в атаках типа «zero-day» на корпоративные сети с конца января. Cisco выпустила официальный патч 4 марта 2026 года, предупредив, что уязвимость позволяет неаутентифицированным злоумышленникам выполнять произвольный код Java с привилегиями root на уязвимых, непропатченных устройствах управления межсетевыми экранами. Этот промежуток более чем в 36 дней между началом эксплуатации и доступностью исправления подчеркивает критическое окно уязвимости, с которым столкнулись организации.
Операция вымогателей Interlock, впервые появившаяся в сентябре 2024 года, создала заметный профиль угрозы. Исследователи безопасности связывают группировку с предыдущими кампаниями, включая развертывание трояна удаленного доступа под названием NodeSnake в сетях нескольких британских университетов. Interlock также публично взяла на себя ответственность за атаки на крупные организации, такие как поставщик медицинских услуг DaVita, Kettering Health, система Техасского технологического университета и город Сент-Пол в Миннесоте. В тревожной эволюции, исследователи IBM X-Force недавно сообщили, что операторы Interlock начали развертывать новый штамм вредоносного ПО под названием «Slopoly», который, как предполагается, был создан с использованием инструментов генеративного ИИ, что указывает на адаптацию современных технологий для усиления их наступательных возможностей.
Эксплуатация уязвимости в Cisco FMC представляет собой значительную эскалацию тактики Interlock. Нацеливаясь на интерфейс управления корпоративными межсетевыми экранами — ключевой компонент инфраструктуры сетевой безопасности — злоумышленники потенциально могут получить глубокий доступ в среду организации для развертывания программ-вымогателей или проведения шпионажа. Команда разведки угроз Amazon подтвердила, что Interlock эксплуатировала эту конкретную уязвимость более месяца до того, как Cisco выпустила патч. Этот продолжительный период скрытой эксплуатации подчеркивает сложности оборонительной кибербезопасности, когда противники могут действовать скрытно в критических системах задолго до того, как поставщики и защитники узнают о конкретной используемой уязвимости.
Этот инцидент является частью более широкого ландшафта угроз высокой серьезности. Параллельно компания ConnectWise исправила новую уязвимость в своем программном обеспечении ScreenConnect, которая может позволить захватить контроль, новая уязвимость iOS под названием «Darksword» использовалась в атаках для кражи информации, а вредоносное ПО GlassWorm заразило более 400 репозиториев кода на таких платформах, как GitHub и npm. Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) также обязало федеральные агентства исправить активно эксплуатируемую уязвимость межсайтового скриптинга (XSS) в программном обеспечении для совместной работы Zimbra. Случай эксплуатации уязвимости нулевого дня в продукте Cisco группировкой Interlock служит stark напоминанием о необходимости для организаций поддерживать строгие программы управления исправлениями, использовать надежную сегментацию сети и развертывать возможности поиска угроз для обнаружения аномальной активности, особенно на критически важных платформах управления безопасностью, до выпуска официальных рекомендаций.
