Группа программ-вымогателей Interlock использовала критическую уязвимость в межсетевом экране Cisco (CVE-2026-20131) в режиме «нулевого дня» за 38 дней до выпуска патча, что выявила Amazon. Уязвимость в FMC получила максимальный балл CVSS 10. — csoonline.com
Одна из самых активных в мире групп программ-вымогателей Interlock начала использовать критическую уязвимость в межсетевом экране Cisco в режиме «нулевого дня» за несколько недель до выпуска исправления в начале марта, как выяснила компания Amazon.
Речь идет об уязвимости CVE-2026-20131 — уязвимости удаленной эксплуатации, связанной с десериализацией в программном обеспечении Cisco Secure Firewall Management Center (FMC), которой был присвоен максимальный балл CVSS 10.
Когда Cisco выпустила исправление 4 марта в рамках своего полугодового обновления для межсетевых экранов, команды безопасности должны были понять, что его необходимо применить срочно, наряду с исправлением второй уязвимости FMC, CVE-2026-20079, с таким же уровнем критичности.
Однако обнаружение Amazon того, что Interlock начала эксплуатировать CVE-2026-20131 еще 26 января, примерно за 38 дней до выпуска патча, превращает проблему из просто «срочной» в нечто сродни полномасштабной чрезвычайной ситуации по исправлению уязвимости нулевого дня.
Ошибка злоумышленника
Amazon заявила, что начала поиск эксплуатации CVE-2026-20131 после уведомления Cisco, используя глобальную сеть компании MadPot — систему ловушек (honeypot), состоящую из тысяч датчиков, развернутых на платформе AWS.
Это быстро выявило атаки, датированные неделями до того, как уязвимость стала общеизвестной. «Наблюдаемая активность включала HTTP-запросы к определенному пути в уязвимом программном обеспечении», — сообщил Си Джей Мозес, директор по информационной безопасности Amazon Integrated Security, в блоге на этой неделе.
Он добавил: «Это была не просто очередная эксплуатация уязвимости, у Interlock был в руках эксплойт нулевого дня, что дало им фору в неделю для компрометации организаций, прежде чем защитники даже узнали, что нужно искать». Позже он уточнил изданию CSO, что «неделя форы», о которой он говорил, — это разрыв между датой первой эксплуатации, которую выявил последующий анализ Amazon, и обнаружением бага самой Cisco.
Amazon получила представление об инфраструктуре злоумышленника, используя ловушку для имитации уязвимой системы межсетевого экрана. Это привело к атаке на ловушку, которая получила вредоносный бинарный файл от злоумышленников; это также показало, что программа-вымогатель зависела от единственного сервера с плохо защищенной промежуточной областью.
На основе этого исследователи смогли проанализировать всю цепочку атак группы, включая трояны, скрипты разведки и методы уклонения.
Разгадка Interlock
По данным Amazon, инструменты и методы связывают вредоносное ПО с Interlock — актором программ-вымогателей, появившимся в 2024 году, возможно, как ответвление модели Ransomware-as-a-Service (RaaS) от печально известной группы Rhysida, стоявшей за разрушительной атакой программы-вымогателя на Британскую библиотеку в 2023 году.
«Бинарный файл ELF [исполняемый файл Linux] и сопутствующие артефакты могут быть отнесены к семейству программ-вымогателей Interlock на основании сходящихся технических и операционных индикаторов. Встроенная записка с требованием выкупа и портал для переговоров через TOR соответствуют устоявшемуся брендингу и инфраструктуре Interlock», — заявил Мозес из Amazon.
В прошлом Interlock нацеливалась на такие сектора, как образование, инженерия, архитектура, строительство, производство и здравоохранение, а также на государственные и общественные организации, сказал Мозес.
Однако, учитывая, что группа смогла использовать уязвимость нулевого дня в таком распространенном оборудовании, как межсетевые экраны Cisco, более месяца, любая уязвимая организация может находиться под угрозой.
«Фундаментальная проблема» эксплойтов нулевого дня
«Настоящая история здесь не только об одной уязвимости или одной группе программ-вымогателей — она о фундаментальной проблеме, которую эксплойты нулевого дня создают для каждой модели безопасности», — сказал Мозес.
«Когда злоумышленники используют уязвимости до появления исправлений, даже самые добросовестные программы установки патчей не могут защитить вас в это критическое окно. Именно поэтому защита в глубину (defense in depth) имеет решающее значение».
Пока неясно, скольких жертв могла скомпрометировать Interlock в период, когда она могла использовать CVE-2026-20131 как уязвимость нулевого дня, но их, вероятно, будет много. В блоге Amazon приведен список IP-адресов, вредоносных доменов и хешей клиентских отпечатков JA3, которые команды безопасности могут искать в журналах в качестве доказательства возможной компрометации.
Процедура установки патча для CVE-2026-20131 и 47 других CVE, включенных в мартовское обновление Cisco от 4 марта, варьируется в зависимости от установленной версии программного обеспечения FMC. Cisco рекомендует использовать свою проверку программного обеспечения для определения подходящего обновления.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn