Interlock-ransomware kobles til aktiv utnyttelse av kritisk Cisco FMC-feil
En ny kampanje knyttet til Interlock-ransomware utnytter en kritisk sårbarhet i Cisco Secure Firewall Management Center (FMC), omtalt som CVE-2026-20131. Ifølge rapportering fra The Hacker News, basert på funn fra Amazon Threat Intelligence, har feilen vært brukt som zero-day i målrettede angrep før offentlig omtale.
Sårbarheten beskrives som en alvorlig deserialiseringsfeil som kan gi…
Sårbarheten beskrives som en alvorlig deserialiseringsfeil som kan gi fjernkjøring av kode som root uten innlogging. Hvis det stemmer, er dette et klassisk «høy konsekvens + lav friksjon»-scenario: én eksponert administrasjonsflate kan være nok til full kompromittering av sikkerhetsinfrastrukturen.
Det mest alvorlige her er ikke bare CVSS-nivået, men rollen FMC har i mange miljøer. Når kontrollplanet for brannmurer blir inngangspunkt, kan angripere i praksis få oversikt over segmentering, sikkerhetspolicy og trafikkmønstre i samme operasjon. Det reduserer tiden fra første fotfeste til lateral bevegelse betydelig.
Ifølge de tekniske detaljene som er omtalt, bruker angriperne HTTP-baserte forespørsler mot spesifikke endepunkter for å starte kjeden, før videre nedlasting av verktøy for vedvarende tilgang, rekognosering og operasjonell skjuling. Kampanjen skal også ha brukt infrastruktur for proxying og hyppig loggrydding, noe som gjør etterforskning vanskeligere.
For forsvarssiden betyr dette at «patch når mulig» ikke…
For forsvarssiden betyr dette at «patch når mulig» ikke er tilstrekkelig alene. Når aktiv utnyttelse skjer i forkant av offentlig patch-vindu, må virksomheter i tillegg ha kompenserende kontroller: streng segmentering av administrasjonsgrensesnitt, tilgang kun via dedikerte hoppunkt, detaljerte alarmer på mistenkelige API-kall og rask kompromissjakt i logger.
Saken illustrerer også en bredere trend i ransomware-markedet: aktører går oftere etter nettverks- og sikkerhetsprodukter i kanten av infrastrukturen, fordi de gir rask skalaeffekt. Én vellykket utnyttelse kan gi tilgang til mange systemer uten at angriperne først må kompromittere sluttbrukerenheter.
Konsekvensen for IT- og sikkerhetsteam er klar: FMC-installasjoner bør behandles som høyrisiko i denne perioden, med prioritert patching, umiddelbar eksponeringskartlegging og aktiv jakt på indikatorer på kompromittering.