Een kwetsbaarheid in Cisco firewalls, die begin maart werd gepatcht, is sinds eind januari als zero-day misbruikt door de Interlock ransomware-groep, meldt het threat intelligence team van Amazon. Het gaat om CVE-2026-20131, een kwetsbaarheid in de webgebaseerde managementinterface van het Secure Firewall Management Center (FMC) softwarepakket. Hiermee kan een externe, niet-geauthenticeerde aanvaller willekeurige Java-code uitvoeren met rootrechten.

De patches voor deze en tientallen andere kwetsbaarheden in FMC, ASA en Secure FTD producten werden op 4 maart door Cisco uitgebracht. Cisco adviseert om de FMC managementinterface niet direct aan het internet bloot te stellen om het aanvalsoppervlak te verkleinen. Amazon ontdekte dat de Interlock-groep deze kwetsbaarheid al sinds 26 januari actief exploiteert. Door een verkeerd geconfigureerde server van Interlock konden onderzoekers inzicht krijgen in de aanvalsketen, gebruikte remote access tools, verkenningsscripts en technieken om detectie te vermijden.

Interlock richt zich vooral op sectoren waar operationele verstoring maximale druk op betaling legt, zoals onderwijs, engineering, architectuur, bouw, productie, gezondheidszorg en overheidsinstanties. Analyse van tijdstempels en metadata wijst erop dat de aanvallers waarschijnlijk opereren in de UTC+3 tijdzone, vermoedelijk vanuit Rusland, met mogelijke alternatieven in Wit-Rusland of enkele Midden-Oosterse landen. Amazon heeft indicatoren van compromittering (IoC’s) gedeeld om verdedigers te helpen bij het detecteren en blokkeren van Interlock ransomware-aanvallen.