Een ernstige kwetsbaarheid in het Cisco Secure Firewall Management Center (FMC) wordt sinds januari actief misbruikt bij ransomware-aanvallen, meldt Amazon. Cisco bracht op 4 maart een beveiligingsupdate uit om het probleem te verhelpen.

Het Firewall Management Center fungeert als het administratieve centrum voor het beheer van Cisco-firewalls binnen organisaties. De kwetsbaarheid zit in de webinterface van het FMC en wordt veroorzaakt door een onjuist systeemproces dat tijdens het opstarten wordt gestart. Kwaadwillenden kunnen via speciaal opgemaakte HTTP-requests de authenticatie omzeilen en vervolgens scripts en commando's uitvoeren met rootrechten op het onderliggende besturingssysteem.

De ernst van deze kwetsbaarheid (CVE-2026-20079) is door Cisco beoordeeld met een maximale score van 10.0. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde bij het verschijnen van het beveiligingsbulletin voor een snelle beschikbaarheid van exploitcode en grootschalige misbruikpogingen. Amazon meldt dat de Interlock-ransomwaregroep de kwetsbaarheid al sinds 26 januari inzet, ruim vijf weken voordat de patch beschikbaar kwam.

Cisco heeft het beveiligingsbulletin inmiddels aangepast en bevestigt dat het misbruik van het lek deze maand is vastgesteld. Organisaties die gebruikmaken van het FMC worden dringend geadviseerd de patch zo snel mogelijk te installeren. De Interlock-groep is verantwoordelijk voor meerdere impactvolle ransomware-aanvallen, onder meer op Amerikaanse ziekenhuizen. Amazon heeft daarnaast Indicators of Compromise (IoC’s) gedeeld om te controleren of systemen mogelijk zijn gecompromitteerd.