Группировка Interlock с конца января использовала уязвимость RCE максимальной критичности в ПО Cisco Secure Firewall Management Center (FMC) в атаках zero-day. Amazon обнаружила, что эксплуатация началась за 36 дней до выпуска патча Cisco 4 марта. — bleepingcomputer.com
Группировка, стоящая за вымогательским ПО Interlock, с конца января использует уязвимость с максимальным уровнем критичности для удаленного выполнения кода (RCE) в программном обеспечении Secure Firewall Management Center (FMC) от Cisco в атаках типа zero-day.
Деятельность вымогателей Interlock впервые была зафиксирована в сентябре 2024 года, и их связывают с кампанией ClickFix, а также с вредоносными атаками, в ходе которых они развертывали троян удаленного доступа под названием NodeSnake в сетях ряда британских университетов.
Interlock также взяла на себя ответственность за атаки на DaVita, Kettering Health, Систему университетов Техаса и город Сент-Пол, штат Миннесота. Недавно исследователи IBM X-Force сообщили, что операторы Interlock начали использовать новый штамм вредоносного ПО под названием Slopoly, вероятно, созданный с помощью инструментов генеративного ИИ.
Cisco устранила уязвимость (CVE-2026-20131) 4 марта, предупредив, что она может позволить неаутентифицированным злоумышленникам удаленно выполнять произвольный Java-код с правами root на необновленных устройствах.
Команда Amazon Threat Intelligence сообщила в среду, что кампания вымогателей Interlock использовала уязвимость в Secure FMC для атак на корпоративные межсетевые экраны более месяца до того, как она была исправлена.
“Изучая текущие или прошлые случаи использования этой уязвимости, наше исследование показало, что Interlock использовала эту уязвимость за 36 дней до ее публичного раскрытия, начиная с 26 января 2026 года”, — заявил Си Джей Мозес, директор по информационной безопасности Amazon Integrated Security.
“Это было не просто очередное использование уязвимости: у Interlock был zero-day, что дало им преимущество в неделю для компрометации организаций, прежде чем защитники даже узнали, что нужно искать”.
“4 марта 2026 года Cisco выпустила консультативное уведомление о безопасности, раскрывающее уязвимость в веб-интерфейсе программного обеспечения Cisco Secure Firewall Management Center”, — сообщили BleepingComputer в среду в электронном письме от Cisco после публикации. “Мы ценим партнерство Amazon в этом вопросе и обновили наше консультативное уведомление о безопасности самой последней информацией. Мы настоятельно призываем клиентов обновиться как можно скорее и обратиться к нашему консультативному уведомлению о безопасности для получения более подробной информации и рекомендаций”.
С начала года Cisco устранила несколько других уязвимостей безопасности, которые использовались в реальных атаках типа zero-day. Например, в январе была исправлена уязвимость zero-day максимальной критичности в Cisco AsyncOS, которая использовалась для взлома защищенных почтовых устройств с ноября, а также была устранена критическая RCE в Unified Communications, злоупотребление которой также происходило в атаках zero-day.
В прошлом месяце Cisco устранила еще один критический дефект, который использовался как zero-day для обхода аутентификации Catalyst SD-WAN, что позволяло злоумышленникам компрометировать контроллеры и добавлять вредоносных несанкционированных пиров в целевые сети.
Обновление от 18 марта, 12:55 EDT: Добавлено заявление Cisco.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan