Η συμμορία ransomware εκμεταλλεύεται το ελάττωμα της Cisco σε επιθέσεις zero-day από τον Ιανουάριο

Η συμμορία ransomware Interlock εκμεταλλεύεται μια ευπάθεια μέγιστης σοβαρότητας απομακρυσμένης εκτέλεσης κώδικα (RCE) στο λογισμικό Secure Firewall Management Center (FMC) της Cisco σε επιθέσεις zero-day από τα τέλη Ιανουαρίου.

Η λειτουργία ransomware Interlock εμφανίστηκε τον Σεπτέμβριο του 2024 και έχει συνδεθεί με το ClickFix και με επιθέσεις κακόβουλου λογισμικού στις οποίες ανέπτυξαν έναν trojan απομακρυσμένης πρόσβασης που ονομάζεται NodeSnake στα δίκτυα πολλών πανεπιστημίων του Ηνωμένου Βασιλείου.

Η Interlock ανέλαβε επίσης την ευθύνη για τις επιθέσεις στο DaVita, στο Kettering Health, στο Texas Tech University System και στην πόλη Saint Paul της Μινεσότα. Πιο πρόσφατα, ερευνητές της IBM X-Force ανέφεραν ότι οι χειριστές Interlock έχουν αναπτύξει ένα νέο στέλεχος κακόβουλου λογισμικού με το όνομα Slopoly, το οποίο πιθανότατα δημιουργήθηκε χρησιμοποιώντας εργαλεία τεχνητής νοημοσύνης.

Η Cisco επιδιορθώνει το ελάττωμα ασφαλείας (CVE-2026-20131) στις 4 Μαρτίου, προειδοποιώντας ότι θα μπορούσε να επιτρέψει σε μη επαληθευμένους εισβολείς να εκτελούν εξ αποστάσεως αυθαίρετο κώδικα Java ως root σε μη επιδιορθωμένες συσκευές.

Η ομάδα πληροφοριών απειλών της Amazon ανέφερε την Τετάρτη ότι η επιχείρηση ransomware Interlock εκμεταλλευόταν το ελάττωμα του Secure FMC σε επιθέσεις που στόχευαν τα τείχη προστασίας επιχειρήσεων για περισσότερο από ένα μήνα προτού διορθωθεί.

“Καθώς αναζητούσαμε τυχόν τρέχουσες ή προηγούμενες εκμεταλλεύσεις αυτής της ευπάθειας, η έρευνά μας διαπίστωσε ότι η Interlock εκμεταλλευόταν αυτήν την ευπάθεια 36 ημέρες πριν από τη δημόσια αποκάλυψή της, αρχής γενομένης από τις 26 Ιανουαρίου 2026.” είπε CJ Moses, CISO της Amazon Integrated Security.

“Αυτό δεν ήταν απλώς ένα ακόμη εκμεταλλεύσιμο ευπάθειας, η Interlock είχε μια ημέρα μηδέν στα χέρια τους, δίνοντάς τους ένα προβάδισμα μιας εβδομάδας για να συμβιβάσουν τους οργανισμούς πριν καν οι υπερασπιστές μάθουν να κοιτάξουν.”

«Στις 4 Μαρτίου 2026, η Cisco εξέδωσε α συμβουλευτική για την ασφάλεια αποκαλύπτοντας μια ευπάθεια στη διεπαφή ιστού του Cisco Secure Firewall Management Center Software”, είπε η Cisco στην BleepingComputer την Τετάρτη σε μια δήλωση μετά τη δημοσίευσή της. “Εκτιμούμε τη συνεργασία της Amazon σε αυτό και έχουμε ενημερώσει τις συμβουλές ασφαλείας μας με τις πιο πρόσφατες πληροφορίες. Προτρέπουμε θερμά τους πελάτες να αναβαθμίσουν το συντομότερο δυνατό και να αναφερθούν στο δικό μας συμβουλευτική για την ασφάλεια για περισσότερες λεπτομέρειες και καθοδήγηση.”

Από την αρχή του έτους, η Cisco έχει αντιμετωπίσει πολλά άλλα τρωτά σημεία ασφαλείας που έχουν εκμεταλλευτεί στην άγρια ​​φύση ως zero-days. Για παράδειγμα, τον Ιανουάριο, διόρθωσε μια μέγιστης σοβαρότητας Cisco AsyncOS zero-day που είχε εκμεταλλευτεί για την παραβίαση ασφαλών συσκευών ηλεκτρονικού ταχυδρομείου από τον Νοέμβριο και επιδιορθώθηκε ένα κρίσιμο RCE Unified Communications που επίσης καταχράστηκε σε επιθέσεις zero-day.

Τον περασμένο μήνα, η Cisco αντιμετώπισε ένα άλλο ελάττωμα μέγιστης σοβαρότητας που χρησιμοποιήθηκε ως μηδενική ημέρα για να παρακάμψει τον έλεγχο ταυτότητας Catalyst SD-WAN, επιτρέποντας στους εισβολείς να παραβιάσουν ελεγκτές και να προσθέσουν κακόβουλους απατεώνες σε στοχευμένα δίκτυα.

Ενημέρωση 18 Μαρτίου, 12:55 EDT: Προστέθηκε δήλωση Cisco.