De Interlock ransomwaregroep maakt sinds eind januari gebruik van een zero-day kwetsbaarheid in Cisco's Secure Firewall Management Center (FMC) software. Het gaat om een remote code execution (RCE) kwetsbaarheid met maximale ernst, die Cisco op 4 maart heeft gepatcht onder CVE-2026-20131. Door deze kwetsbaarheid kunnen onbevoegde aanvallers op afstand willekeurige Java-code uitvoeren met rootrechten op niet-gepatchte systemen.

Cisco legt uit dat de kwetsbaarheid ontstaat door onveilige deserialisatie van een door de gebruiker aangeleverde Java byte stream. Een aanvaller kan een speciaal vervaardigd Java-object naar de webgebaseerde managementinterface van het getroffen apparaat sturen. Bij een succesvolle exploit kan de aanvaller code uitvoeren en zijn privileges verhogen tot rootniveau. Hoewel Cisco aanvankelijk meldde geen bewijs te hebben voor actieve exploitatie in het wild, rapporteerde het Amazon threat intelligence team dat Interlock deze kwetsbaarheid al sinds 26 januari, ruim een maand voor de patch, actief misbruikte in aanvallen op bedrijfsfirewalls. Amazon deelde deze bevindingen met Cisco om het onderzoek te ondersteunen en klanten te beschermen, maar Cisco heeft CVE-2026-20131 nog niet als actief misbruikt gemarkeerd.

Volgens CJ Moses, CISO van Amazon Integrated Security, gaf deze zero-day Interlock een voorsprong van een week om organisaties te compromitteren voordat verdedigers op de hoogte waren. Sinds begin 2026 heeft Cisco meerdere andere zero-day kwetsbaarheden met hoge ernst gepatcht die in het wild werden misbruikt, waaronder een Cisco AsyncOS zero-day in januari en een kritieke Unified Communications RCE. Ook werd een zero-day kwetsbaarheid in Catalyst SD-WAN aangepakt die authenticatie kon omzeilen.

De Interlock ransomwaregroep verscheen in september 2024 en wordt in verband gebracht met ClickFix en malwarecampagnes waarbij de remote access trojan NodeSnake werd ingezet op netwerken van diverse Britse universiteiten. Interlock heeft ook aanvallen opgeëist op onder meer DaVita, Kettering Health, het Texas Tech University System en de stad Saint Paul in Minnesota. Recente rapporten van IBM X-Force wijzen erop dat Interlock een nieuwe malwarevariant genaamd Slopoly inzet, mogelijk ontwikkeld met generatieve AI-technieken.