Cisco FMC ranjivost CVE-2026-20131 korišćena kao zero-day u Interlock ransomware napadima
SecurityWeek prenosi da je ranjivost CVE-2026-20131 u Cisco Secure Firewall Management Center (FMC) softveru iskorišćavana kao zero-day najmanje od 26. januara, pre nego što je Cisco objavio zakrpu 4. marta. Propust pogađa web interfejs za upravljanje i omogućava udaljenom, neautentifikovanom napadaču izvršavanje proizvoljnog Java koda sa root privilegijama. Prema nalazima Amazonovog tima za pretnje, ranjivost je koristila grupa Interlock, poznata po ransomware napadima. Istraživači su došli do podataka o lancu napada, prilagođenim RAT alatima, skriptama za izviđanje i tehnikama izbegavanja odbrane nakon što su otkrili pogrešno podešen infrastrukturni server povezan sa ovom grupom. Cisco je naknadno ažurirao advisory i potvrdio aktivnu eksploataciju u stvarnim napadima.
Ovo je ozbiljan signal zato što se radi o upravljačkom sloju firewall infrastrukture. Kada napadač dobije root izvršavanje na FMC sistemu, posledice mogu izaći daleko van jednog servera i otvoriti prostor za dalje kretanje, manipulaciju pravilima i širi kompromis bezbednosnog okruženja. Dodatnu težinu daje činjenica da je propust korišćen kao zero-day u ransomware operacijama.
- Odmah proveriti da li je Cisco Secure Firewall Management Center zakrpljen za CVE-2026-20131
- Potvrditi da FMC web interfejs nije izložen internetu i da mu pristup imaju samo strogo kontrolisane administrativne mreže
- Pregledati FMC, firewall i povezane sistemske logove za indikatore kompromitacije i neuobičajeno izvršavanje koda
- Učitati i proveriti dostupne IoC pokazatelje koje su podelili istraživači radi detekcije mogućih Interlock aktivnosti
- Preispitati segmentaciju i privilegije administratorskih bezbednosnih sistema, jer kompromitacija upravljačke konzole menja nivo rizika cele mreže