TokyoBlackHatNews

cyberpress.org 4分で読了

Ciscoファイアウォール ゼロデイ脆弱性が積極的に悪用され、Interlockランサムウェアが配信される

最近のセキュリティ調査によると、Cisco Secure Firewall Management Center(FMC)の重大なゼロデイ脆弱性が脅威アクターによって積極的に悪用され、エンタープライズネットワーク全体にInterlockランサムウェアが配信されています。

CVE-2026-20131として追跡されているこの脆弱性は、公開から1ヶ月以上前から実際の攻撃で悪用されており、攻撃者に大きな作戦的優位性をもたらしています。

この脆弱性は、Cisco FMCのウェブベースの管理インターフェースにおける安全でないデシリアライゼーション問題(CWE-502)に由来します。

特別に細工されたシリアル化されたJavaオブジェクトを送信することにより、認証されていないリモート攻撃者はルートレベルの権限で任意のコードを実行できます。

CVSSスコアが10.0である場合、この脆弱性は最高の重大度レベルにあり、事前認証を必要とせずにシステム全体の侵害を可能にします。

注目すべきことに、Cisco Security Cloud Control(SCC)も影響を受けていますが、Cisco Adaptive Security Appliance(ASA)とFirepower Threat Defense(FTD)の構成は影響を受けていないため、攻撃面をFMCの展開に限定しています。

脅威インテリジェンスは、悪用が2026年1月26日に始まったことを示しており、攻撃者に36日間の検出されない活動期間を与えました。

初期アクセスは、脆弱なファイアウォール管理システムに悪意のある構成ペイロードを配信する埋め込まれたURLを含む複雑なHTTPリクエストを通じて達成されました。

攻撃者が使用していた設定ミスのあるステージングサーバーが運用上のアーティファクトを流出させた後、キャンペーンが部分的に暴露されました。

この事件により、研究者はInterlockの攻撃チェーンを再構築し、高度に構造化された複数段階の侵入プロセスを明らかにすることができました。

悪用に成功した後、攻撃者は包括的なPowerShellベースの偵察スクリプトを展開して、侵害されたWindows環境を列挙します。

スクリプトはハードウェア仕様、仮想マシンの詳細、およびアクティブなネットワーク接続を体系的に収集します。

収集されたデータはホスト固有のアーカイブに圧縮され流出され、攻撃者が被害者のインフラストラクチャをマップし高価値のアセットを優先順位付けすることが可能になります。

永続性を維持するために、Interlockオペレータは、JavaScriptとJavaの両方で開発されたカスタム構築のリモートアクセス・トロイン(RAT)を活用しています。

JavaScriptバリアントは、回転するRC4キーを使用してエンクリプトされたWebSocket通信を確立し、ステルスコマンドアンドコントロール(C2)操作を確保しています。

一方、JavaベースのRATはGlassFishライブラリを活用して冗長なバックドアアクセスを提供し、部分的な修復努力に対する耐性を向上させています。

さらに、攻撃者はランタイムで受信コマンドを動的に復号化するファイルレス、メモリ常駐型のウェブシェルを展開しています。

この技術はディスク上のフォレンジック成果物を最小化し、従来のエンドポイントセキュリティツールによる検出を複雑にします。

攻撃者の活動の時間分析は、UTC+3タイムゾーンに対応した操作を示唆しており、東ヨーロッパまたは中東の地理的起源の可能性を示唆しています。

Interlockランサムウェアグループは、医療、製造、教育、重要なエンジニアリングを含む、運用ダウンタイムが直接的に財政的圧力に転換されるセクターを優先しているようです。

暗号化を超えて、Interlockは積極的な脅迫戦術を採用しています。

彼らの身代金メモは、データ保護規則に明示的に言及し、データリークに加えて潜在的な規制上のペナルティで被害者を脅迫しています。このアプローチは、緊急性を増幅し、支払い可能性を高めるために設計されています。

Cisco Secure FMCを使用している組織は、遅延なく最新のセキュリティ更新プログラムを適用することを強くお勧めします。

セキュリティチームは、パッチ適用後の徹底的な脅威狩り活動も実施し、異常なPowerShell実行、異常なWebSocketトラフィック、およびメモリ常駐型アーティファクトなどの侵害インジケータに焦点を当てるべきです。

採用されたステルス技術を考えると、従来の検出メカニズムを回避する可能性のあるメモリ内脅威に特に注意を払う必要があります。

この脆弱性の継続的な悪用は、境界セキュリティインフラストラクチャのゼロデイ欠陥によってもたらされる継続的なリスクを浮き彫りにしています。これは、迅速なパッチ管理とプロアクティブな脅威検出の重要性を強調しています。

翻訳元: https://cyberpress.org/cisco-firewall-zero-day-actively-exploited/

ソース: cyberpress.org
#Ciscoファイアウォール #CVE-2026-20131 #Interlockランサムウェア #エンタープライズセキュリティ #セキュリティパッチ #ゼロデイ脆弱性 #デシリアライゼーション攻撃 #ランサムウェア #リモートコード実行 #脅威インテリジェンス

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に