セキュリティ研究により、Cisco Secure Firewall Management Centre(FMC)ソフトウェアの重大なゼロデイ脆弱性を悪用する活動的なInterlockランサムウェアキャンペーンが発見されました。
Amazon MadPotネットワーク経由のこの認証不要のリモートコード実行の欠陥を利用して、脅威アクターは公開前の1か月以上にわたってエンタープライズ環境を侵害しました。
Ciscoファイアウォール ゼロデイ
侵入キャンペーンは、Cisco Secure FMCソフトウェアのウェブベース管理インターフェース内にあるCWE-502として追跡される安全でないデシリアライゼーション脆弱性であるCVE-2026-20131に完全に焦点を当てています。
悪意を持つように細工されたシリアル化されたJavaオブジェクトを送信することにより、認証されていないリモート攻撃者は容易に任意のJavaコードを実行してルート権限を取得できます。
この重大度の高い欠陥の最大CVSS基本スコアは10.0で、最も高いリスクを示しています。
Cisco Security Cloud Control(SCC)も脆弱ですが、広く展開されているAdaptive Security Appliance(ASA)とThreat Defense(FTD)ソフトウェア設定は完全に影響を受けません。
研究者は2026年1月26日に開始されたこの脆弱性を悪用する脅威アクティビティを特定し、Ciscoの公開開示の前に36日間の利点をInterlockに与えました。
初期の悪用の試みは、ターゲット ファイアウォールに設定データを配信するために特別に設計された埋め込みURLを含む複雑なHTTPリクエストを含んでいました。
設定の誤りがある攻撃者ステージングサーバーが最終的にInterlockのマルチステージ運用ツールキットを露出させ、セキュリティチームに彼らの方法論についての前例のない可視性を提供しました。
ネットワークアクセスを取得すると、オペレーターは体系的なWindows環境列挙用に設計された包括的なPowerShellスクリプトを展開します。
このスクリプトは、ハードウェアの詳細、仮想マシンのインベントリ、およびアクティブなネットワーク接続を収集することでターゲット環境をマッピングし、データをホスト固有のアーカイブに圧縮して流出させます。
永続的な管理アクセスを維持するため、InterlockはJavaScriptとJavaの両方で開発された高度なカスタムリモートアクセストロイの木馬を使用します。
JavaScriptバリアントは、回転するRC4暗号化キーを使用してWebSocket接続を確立します。一方、Javaバリアントは、GlassFishライブラリ経由で冗長なバックドアアクセスを提供します。
さらに、攻撃者は、検出可能なファイルをディスクに書き込むことを回避するためにインカミングコマンドペイロードを動的に復号化するメモリ常駐ウェブシェルを展開します。
時間的なアーティファクト分析に基づいて、InterlockオペレーターはほぼUTC+3タイムゾーンから操作し、運用の中断が身代金レバレッジを最大化するセクターに大きく焦点を当てています。
シンジケートは主に、教育、製造、医療、および世界中の重要なエンジニアリング全体の脆弱な組織をターゲットにしています。
ユニークな恐喝戦術では、カスタムの身代金メモが、データ暗号化に加えてコンプライアンスの罰金で犠牲者を脅かすためにデータ保護規制を引用しています。
この脱シリアライゼーション欠陥を軽減するための実行可能な回避策は存在しないため、即座のソフトウェアアップデートがこの重大な脆弱性に対する唯一の確実な防御です。
Cisco Secure Firewall Management Centerを運用している組織は、周辺インフラストラクチャを保護するために直ちに公式セキュリティパッチを適用する必要があります。
パッチプロセスの後、ネットワーク防御者は妥協の指標を徹底的に確認して、アクティブな環境内のメモリ常駐の異常を検出する必要があります。
翻訳元: https://gbhackers.com/cisco-firewall-zero-day-actively-exploited/
