Interlock Ransomware Exploits Cisco FMC Zero-Day CVE-2026-20131 for Root Access

1 minute de lecture

Mis à jour : March 19, 2026

Exploitation du ransomware Interlock via une faille Zero-Day dans Cisco FMC

Le groupe de ransomware Interlock exploite activement une vulnérabilité critique dans le logiciel Cisco Secure Firewall Management Center (FMC). Les attaquants utilisent cette faille comme un “zero-day” depuis le 26 janvier 2026, profitant d’une fenêtre d’opportunité avant la divulgation publique du correctif. L’infrastructure des attaquants, découverte accidentellement, a révélé un arsenal sophistiqué incluant des outils de reconnaissance, des web shells persistants et l’usage de ConnectWise ScreenConnect.

Vulnérabilité identifiée :

CVE-2026-20131 (Score CVSS : 10.0) : Une faille de désérialisation non sécurisée de flux d’octets Java. Elle permet à un attaquant distant non authentifié de contourner l’authentification et d’exécuter du code arbitraire avec des privilèges root.

Points clés :

Mode opératoire : L’attaque commence par des requêtes HTTP contrefaites, suivies du téléchargement de binaires ELF et du déploiement de malwares personnalisés.
Évasion : Les attaquants utilisent des scripts Bash pour transformer des serveurs Linux en proxies inversés (via HAProxy) et automatiser l’effacement des journaux (logs) afin de masquer leurs traces.
Persistance : Utilisation de outils légitimes comme ConnectWise ScreenConnect pour maintenir un accès même après la suppression des outils malveillants initiaux.

Recommandations :

Application immédiate des correctifs : Mettre à jour sans délai les systèmes Cisco FMC vers la version patchée fournie par l’éditeur.
Audit de sécurité : Rechercher tout indicateur de compromission et auditer les déploiements de logiciels d’accès à distance (type ScreenConnect) pour identifier des installations non autorisées.
Stratégie de défense en profondeur : Ne pas se reposer uniquement sur le patching. Implémenter des contrôles de sécurité multicouches (segmentation réseau, surveillance du trafic, restriction des accès) pour limiter l’impact en cas de faille zero-day.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Interlock Ransomware Exploits Cisco FMC Zero-Day CVE-2026-20131 for Root Access

Exploitation du ransomware Interlock via une faille Zero-Day dans Cisco FMC

Partager sur

Vous pourriez aimer

Ubuntu CVE-2026-3888 Bug Lets Attackers Gain Root via systemd Cleanup Timing Exploit

Vulnérabilité critique d’élévation de privilèges sur Ubuntu

The SOC Files: Time to “Sapecar”. Unpacking a new Horabot campaign in Mexico

Analyse de la campagne Horabot : Menace bancaire au Mexique

The Refund Fraud Economy: Exploiting Major Retailers and Payment Platforms

L’économie souterraine de la fraude au remboursement

Scans for “adminer”, (Wed, Mar 18th)

La montée des scans ciblant Adminer