Interlock je zloupotrebljavao Cisco FMC zero-day više od mesec dana pre zakrpe
CSO Online piše da je ransomware grupa Interlock iskorišćavala kritičnu Cisco FMC ranjivost CVE-2026-20131 još od 26. januara, oko 38 dana pre nego što je zakrpa objavljena 4. marta. Reč je o deserialization propustu sa CVSS 10 koji omogućava udaljenu eksploataciju u Cisco Secure Firewall Management Center softveru. Amazon je, koristeći svoju MadPot honeypot mrežu, uspeo da uhvati napad, dobije maliciozni binarni fajl i rekonstruiše čitav lanac napada, uključujući trojance, recon skripte i tehnike izbegavanja detekcije.
Ovo više nije samo priča o jednoj zakrpi, već o starom problemu sa novim posledicama: kada napadač ima stvarni zero-day prozor, ni dobar patching proces sam po sebi nije dovoljan. Vrednost ovog slučaja je i u tome što pokazuje koliko honeypot infrastruktura i dubinska odbrana mogu da pomognu da se napad razume pre nego što broj žrtava postane jasan.
- Odmah proveriti da li je u okruženju korišćen ranjivi Cisco FMC i primeniti odgovarajuću zakrpu prema verziji softvera
- Pregledati logove za period od 26. januara 2026. nadalje, ne samo od datuma objave zakrpe
- Pretražiti infrastrukturu prema IOC podacima kao što su IP adrese, domeni i JA3 hash vrednosti koje je Amazon objavio
- Pojačati nadzor nad internet-izloženim bezbednosnim uređajima i ne tretirati firewall menadžment kao niskorizičnu zonu
- Uvesti ili unaprediti defense-in-depth mere, jer patching ne pokriva period dok zero-day još nije poznat