Amazon Threat Intelligence waarschuwt voor een actieve campagne van de Interlock ransomware die een recent ontdekte kritieke kwetsbaarheid in Cisco Secure Firewall Management Center (FMC) software misbruikt. Het gaat om CVE-2026-20131, een zero-day kwetsbaarheid met een CVSS-score van 10.0, waarbij onveilige deserialisatie van door gebruikers aangeleverde Java byte streams een aanvaller in staat stelt om zonder authenticatie willekeurige Java-code als root uit te voeren op het getroffen systeem.

Volgens gegevens van Cisco's MadPot wereldwijde sensornetwerk wordt deze kwetsbaarheid al sinds 26 januari 2026 actief uitgebuit, ruim een maand voordat Cisco de kwetsbaarheid publiekelijk bekendmaakte. CJ Moses, Chief Information Security Officer van Amazon Integrated Security, gaf aan dat Interlock hiermee een voorsprong van een week had om organisaties te compromitteren voordat verdedigers op de hoogte waren. Amazon deelde de bevindingen direct met Cisco om het onderzoek en de bescherming van klanten te ondersteunen.

De ontdekking was mogelijk door een operationele fout van de aanvallers, die hun toolkit blootstelde via een verkeerd geconfigureerde server. Dit gaf inzicht in de meerfasige aanvalsketen, waaronder op maat gemaakte remote access trojans, verkenningsscripts en technieken om detectie te vermijden. De aanval begint met het versturen van speciaal samengestelde HTTP-verzoeken naar een specifiek pad in de kwetsbare software om willekeurige Java-code uit te voeren. Na succesvolle exploitatie stuurt het systeem een HTTP PUT-verzoek naar een externe server ter bevestiging.

Vervolgens worden commando’s ontvangen om een ELF-binary te downloaden die andere Interlock-tools bevat. Deze tools omvatten onder meer een PowerShell-script voor uitgebreide Windows-omgevingverkenning, aangepaste remote access trojans in JavaScript en Java voor command-and-control, interactieve shelltoegang, bestandoverdracht en SOCKS5-proxyfunctionaliteit, evenals mechanismen voor zelfupdate en zelfverwijdering. Daarnaast wordt een Bash-script ingezet om Linux-servers als HTTP-reverse proxies te configureren, inclusief fail2ban en HAProxy, om de herkomst van de aanvaller te verhullen. Ook wordt een cronjob ingesteld die logbestanden agressief verwijdert en shellgeschiedenis onderdrukt.

Verder maakt de aanval gebruik van een geheugenresident webshell die binnenkomende verzoeken inspecteert op versleutelde commando’s, een lichtgewicht netwerkbeacon om verbinding met de aanvallers te bevestigen, en ConnectWise ScreenConnect voor persistente toegang en alternatieve toegangspaden indien andere footholds worden ontdekt en verwijderd.