Cisco FMC zero-day CVE-2026-20131

Sažetak

Cisco je objavio zakrpu za kritičnu ranjivost CVE-2026-20131 s maksimalnim CVSS bodovanjem 10.0, koja pogađa Cisco Secure Firewall Management Center (FMC) softver. Amazon Threat Intelligence potvrdio je da je ransomware skupina Interlock aktivno iskorištavala ovu ranjivost kao zero-day znatno prije javne objave i dostupnosti zakrpe. CISA je ranjivost uvrstila u katalog poznatih iskorištenih ranjivosti (KEV) i federalnim agencijama naredila primjenu zakrpe u roku od tri dana. Organizacije koje koriste Cisco FMC trebaju odmah primijeniti zakrpu i provjeriti sustave na znakove kompromitacije, uzimajući u obzir da su napadi trajali tjednima bez znanja.

Detalji

CVE-2026-20131 je ranjivost u načinu na koji Cisco FMC obrađuje dolazne podatke, koja napadaču omogućuje izvršavanje proizvoljnog koda na pogođenom uređaju. Napadač bez ikakvih prethodnih vjerodajnica može slanjem posebno oblikovanih HTTP zahtjeva prema specifičnoj putanji u FMC softveru zaobići autentikaciju i izvršiti proizvoljni Java kod s root privilegijama na pogođenom uređaju. Ranjivost pogađa i Cisco Security Cloud Control (SCC) Firewall Management.

Ono što ovu ranjivost čini iznimno ozbiljnom jest pozicija FMC-a u mrežnoj arhitekturi, kao centralna točka upravljanja vatrozidima, kompromitiran FMC napadaču daje stratešku prednost za lateralno kretanje, prikupljanje vjerodajnica, manipulaciju konfiguracijom i deployment ransomwarea kroz cijelo okruženje.

Amazon Threat Intelligence otkrio je eksploataciju putem globalne MadPot honeypot mreže. Istraživači su aktivnost atribuirali skupini Interlock na temelju konvergentnih tehničkih i operativnih indikatora - ELF binarnog fajla, ugrađene poruke o otkupnini i TOR pregovaračkog portala.

Napadački lanac koji je Interlock koristio pokazuje visoku razinu sofisticiranosti. Nakon inicijalnog pristupa putem eksploatacije FMC ranjivosti, napadači su preuzeli zlonamjerni ELF binarni fajl s udaljenog servera. Slučajno pogrešno konfiguriran infrastrukturni server Interlockа izložio je cijeli napadački toolkit, koji uključuje:

• PowerShell skriptu za opsežnu enumeraciju Windows okruženja, prikupljanje podataka o sustavu, pregledničkim artefaktima, pohranjenim vjerodajnicama i mrežnim vezama, pri čemu se rezultati komprimiraju u ZIP arhive organizirane po hostu

• Prilagođene trojane za udaljeni pristup implementirane u JavaScriptu i Javi

• Bash skriptu koja konfigurira Linux servere kao HTTP reverse proxije putem HAProxy-ja s agresivnim brisanjem logova svakih pet minuta

• Memorijski rezidentni Java webshell koji presreće HTTP zahtjeve s AES-128 enkriptiranim naredbama

• Zlouporabu legitimnih alata poput ConnectWise ScreenConnect, Volatility i Certify za Active Directory eksploataciju

Interlock je posebno poznat po modelu dvostruke iznude - uz enkripciju podataka, u poruci o otkupnini eksplicitno prijeti regulatornom izloženošću žrtve, kombinirajući financijski i reputacijski pritisak. Skupina je aktivna od rujna 2024. i prethodno je kompromitirala bolnice, zdravstvene ustanove i javni sektor, uključujući DaVita, Kettering Health i grad Saint Paul koji je bio prisiljen proglasiti izvanredno stanje.

Pogođene verzije

Ranjivost pogađa Cisco Secure Firewall Management Center (FMC) i Cisco Security Cloud Control (SCC) Firewall Management. Cisco preporučuje korištenje Software Checker alata za identifikaciju odgovarajuće verzije zakrpe za konkretnu instalaciju.

Preporuke

• Hitno primijeniti dostupne zakrpe za Cisco Secure Firewall Management Center, koristiti Cisco Software Checker za identifikaciju ispravne verzije

• Pretpostaviti moguću kompromitaciju i provesti forenzičku provjeru sustava, s obzirom na to da su napadi trajali tjednima bez znanja branitelja

• Pregledati logove FMC uređaja na neočekivane odlazne HTTP veze

• Potražiti prisutnost neprepoznatih binarnih fajlova ili skripti na FMC i susjednim upravljačkim sustavima

• Provjeriti ConnectWise ScreenConnect instalacije na neovlaštene instance

• Pregledati korisničke račune i konfiguracije vatrozida na neovlaštene izmjene

• Implementirati defense-in-depth strategiju, zakrpa sama po sebi nije dovoljna zaštita u slučaju da je kompromitacija već nastupila

Reference

• https://aws.amazon.com/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls/

• https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html

• https://www.cisa.gov/known-exploited-vulnerabilities-catalog

• https://nvd.nist.gov/vuln/detail/CVE-2026-20131

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh

• https://www.theregister.com/2026/03/18/amazon_cisco_firewall_0_day_ransomware

‍