Interlock勒索组织利用Cisco防火墙零日漏洞CVE-2026-20131进行攻击

亚马逊威胁情报团队发现，Interlock勒索组织自2026年1月26日起就开始利用Cisco Secure Firewall Management Center（FMC）的一个关键零日漏洞（CVE-2026-20131）进行攻击，这比思科公开披露该漏洞的时间早了36天。

漏洞详情

CVE-2026-20131是Cisco Secure Firewall Management Center软件Web管理界面中的一个不安全反序列化漏洞，CVSS评分达到满分10.0分。该漏洞允许未经身份验证的远程攻击者通过发送精心构造的序列化Java对象到Web管理界面，以root权限执行任意Java代码。

亚马逊首席信息安全官CJ Moses表示："这不仅仅是一次普通的漏洞利用；Interlock掌握了一个零日漏洞，在防御者甚至不知道需要防范之前，就给了他们一周的领先优势来入侵组织。在发现这一点后，我们与思科分享了我们的发现，以帮助支持他们的调查并保护客户。"

攻击技术分析

亚马逊通过其MadPot全球传感器网络（一种蜜罐服务器系统）发现了这一攻击活动。攻击链涉及以下步骤：

1. 攻击者向受影响软件的特定路径发送精心构造的HTTP请求
2. 执行任意Java代码
3. 被入侵的系统向外部服务器发送HTTP PUT请求以确认成功利用
4. 获取远程服务器上的ELF二进制文件

发现的攻击工具

由于威胁行为者的操作安全失误，暴露了一个配置错误的基础设施服务器，研究人员得以深入了解Interlock的攻击工具包，包括：

• PowerShell工具：用于Windows枚举
• Bash脚本：用于设置反向代理
• 自定义远程访问木马（RAT）：用于远程持久访问和C2通信
• 后门程序：用于远程持久访问
• ScreenConnect RMM：被滥用的合法远程监控和管理工具
• Volatility：开源内存取证工具
• Certify：攻击性安全工具

Interlock勒索组织

Interlock勒索组织自2024年9月以来一直活跃，已针对多个组织发起攻击，包括DaVita、Kettering Health和德克萨斯理工大学。该组织采用双重勒索策略，不仅会加密受害者的数据，还会威胁要泄露窃取的数据。

影响范围

该漏洞影响以下版本的Cisco Secure Firewall Management Center：

• 7.0.0至7.0.9之前的版本
• 7.1.0至7.2.11之前的版本
• 7.3.0至7.4.6之前的版本
• 7.6.0至7.6.5之前的版本
• 7.7.0至7.7.12之前的版本
• 10.0.0至10.0.1之前的版本

防护建议

CISA已将此漏洞添加到其已知被利用漏洞（KEV）目录中，并要求联邦机构在2026年3月22日之前修补此漏洞。建议所有组织：

1. 立即升级到思科提供的安全版本
2. 将FMC管理接口访问限制在受信任的内部网络
3. 减少FMC管理接口暴露在公共互联网上的风险
4. 监控指向FMC管理接口的异常Java序列化流量

原文来源：The Hacker News, Security Affairs, Amazon Threat Intelligence
发布日期：2026年3月19日