31の高影響度脆弱性が2026年3月に積極的に悪用され、Interlockランサムウェアグループによって悪用されたCiscoファイアウォールゼロデイが、エンタープライズネットワークへの最も危険な脅威の1つとして浮上しました。
影響を受けたベンダーは、Cisco、Microsoft、Google、ConnectWise、Langflow、Citrix、Aquasecurity、Nginx UI、Qualcomm、F5、Craft CMS、Laravel、Apple、Synacor、Wing FTPサーバー、n8n、Omnissa、SolarWinds、Ivanti、Hikvision、Rockwell、Broadcomを含む、コアエンタープライズおよび開発者エコシステムにまたがっています。
MicrosoftとAppleは最も大きな打撃を受け、31個のバグの約32%を占め、広く導入されているプラットフォームの継続的なターゲッティングを強調しています。
Insikt Group®は、3月に積極的に悪用されている31の高影響度脆弱性を報告し、そのうち29個が非常に重大なRecorded Future Risk Scoreを持ち、強い現実世界の攻撃者の関心を示唆しています。
31個の脆弱性のうち9個がリモートコード実行(RCE)を可能にし、Google、Langflow、Craft CMS、Laravel、Microsoft、n8n、SolarWinds、およびAppleに影響を与えています。
Insikt Group®はまた、10個の脆弱性に対する公開の概念実証(PoC)エクスプロイトを観察し、追加の脅威アクターとクライムウェアグループによる迅速な兵器化の可能性を増加させています。
Nucleiテンプレートは、MindsDBのパストラバーサルバグ(CVE-2026-27483)、重要な認証不足Nginx UIの脆弱性(CVE-2026-27944)、および以前のn8nのCVE-2025-68613に対してリリースされ、ディフェンダーによる高速な検出と検証をサポートしています。
InterlockがCisco FMCゼロデイに命中
目立つインシデントはInterlockランサムウェアがCVE-2026-20131を悪用し、Cisco Secure Firewall Management Center(FMC)およびCisco Security Cloud Control(SCC)ファイアウォール管理の重大な逆シリアル化脆弱性に関するものです。
脅威アクターは、ステージングサーバー37[.]27[.]244[.]222(Intelligence Card)から悪意のあるELFバイナリをデプロイして、後続の作業をサポートします。
Ciscoは2026年3月4日に脆弱性を開示してパッチしましたが、Amazonの脅威インテリジェンスは、グループが1月26日からゼロデイとして悪用しており、攻撃者にディフェンダーより1ヶ月以上のリード時間を与えていることを明らかにしました。
このバグはFMCのWebインターフェースでのユーザー供給Javaバイトストリームの不安全な逆シリアル化に由来し、認証されていないリモート攻撃者が細工されたシリアル化オブジェクトを送信し、rootとして任意のJavaコードを実行することができます。
Interlockのチェーンは、脆弱なFMCインスタンスへ悪意のあるHTTPリクエストを送信し、その後攻撃者インフラストラクチャからELFペイロードをフェッチして永続性を確立し、後続の作業をサポートすることを含みます。
内部に入ると、グループはカスタムJava/JavaScriptRAT、メモリ常駐Webシェル、およびConnectWise ScreenConnectなどの正当なツールを使用して、横方向に移動し、権限をエスカレートし、ランサムウェアデプロイメント用のデータをステージングします。
Ciscoを超えて、Recorded Futureは複数の悪用チェーンをモバイルおよびWebエコシステムにリンクし、AppleとGoogleが再び照準の中にあります。
DarkSword iOSフルチェーンエクスプロイトは、Safariベースのリモートコード実行、サンドボックスエスケープ、およびカーネルレベルのアクセスを可能にし、侵害されたデバイスへGHOSTKNIFE、GHOSTSABER、およびGHOSTBLADEペイロードをデプロイするために使用されました。
Corunaエクスプロイトキットは同様にiOSをターゲットにし、ブラウザ駆動型エクスプロイトシーケンスを通じてPlasmaLoader(PLASMAGRID)マルウェアを配信しました。
今月の一般的な弱点パターンにはCWE-502(信頼されていないデータの逆シリアル化)およびCWE-94(コードインジェクション)が含まれ、攻撃者が入力処理と現代的なプラットフォームの複雑なシリアル化ロジックに焦点を当てていることを反映しています。
2つの脆弱性と23エクスプロイトキット(12個は特定のCVEにマップされている)は悪用キャンペーンに直接関連しており、悪用は理論的ではなく、アクティブな攻撃者ツール内に組み込まれていることを強調しています。
古いCVE、新しい侵害
悪用された脆弱性は最近のものです:CVE-2017-7921は、約9年前のHikvision脆弱性であり、3月に積極的な悪用の下にありました。
その継続的な悪用は、新しいゼロデイがヘッドラインを獲得する場合でも、パッチを当てられていないレガシーシステムがいかに信頼できる足がかりを提供するかを強調しています。
Insikt Group®は、ディフェンダーが古いCVEを却下すべきではなく、代わりに観察された悪用、堅牢な資産可視性、およびパッチが不可能な場合の補償的統制に基づいて優先順位を付けるべきであることを強調しています。
脆弱性管理チームにとって、2026年3月はリスクが脅威インテリジェンスによって駆動されなければならず、CVSSだけではないことを思い起こさせます。
Cisco FMC/SCC、Microsoft、Apple、およびその他の主要なターゲット製品を実行している組織は、ベンダーパッチを緊急に適用し、31のCVEに対する露出を検証し、NucleiテンプレートとRecorded Futureリスク評価を修復ワークフローに統合することを検討すべきです。
翻訳元: https://gbhackers.com/cisco-fmc-zero-day/
