2026年3月、Insikt Groupの研究者が緊急な修復が必要な31件の高い影響度のサイバーセキュリティ脆弱性を特定しました。脅威インテリジェンスデータによると、これらの欠陥のうち29件は非常に重大なリスクスコアを受けました。
MicrosoftとAppleの製品が最も標的にされており、特定された脆弱性の約32%を占めています。
このレポートは、脅威行為者が従来型システムを継続的に標的にしていることを強調しており、9年前のHikvision脆弱性(CVE-2017-7921)の積極的な悪用によって実証されています。
セキュリティチームは、ベースの重大度メトリクスのみに依存するのではなく、積極的な悪用に基づいてパッチ適用を優先することを促されています。
3月を通じて、追跡されたすべての31件の脆弱性は実野で積極的に悪用され、そのうち10件は公開されたプルーフオブコンセプト(PoC)エクスプロイトが利用可能でした。
Insikt Groupは、MindsDB(CVE-2026-27483)のパストトラバーサル問題およびNginx UI(CVE-2026-27944)の認証回避を含む、高重大度の欠陥を検出するのを支援するためのNucleiテンプレートをリリースしました。
生データテーブルに依存するのではなく、セキュリティチームは、積極的な攻撃に直面している以下の重大な脆弱性に注意する必要があります:
この開示サイクルで観察された最も一般的な弱点は、信頼できないデータの逆シリアル化(CWE-502)とコードインジェクション(CWE-94)でした。
特に注目すべきは、9つの脆弱性が攻撃者にリモートコード実行(RCE)を実行できるようにしたことです。脅威景観は複雑なモバイル脅威も見ており、DarkSwordエクスプロイトチェーンがiOSデバイスでSafariベースのRCEを達成してGHOSTKNIFEなどのペイロードをデプロイしました。対照的に、CorunaエクスプロイトキットはPlasmaLoaderマルウェアを配信しました。
3月で最も懸念すべき脅威はInterlock Ransomware Groupに関わるものでした。Amazon Threat Intelligenceによると、グループは2026年1月26日以降、Cisco SecureFirewall Management Center(FMC)脆弱性(CVE-2026-20131)をゼロデイとして悪用しました。
この重大な欠陥により、認証されていない攻撃者が細工されたHTTPリクエストを介してルート権限で任意のJavaコードを実行できます。
攻撃者がCisco FMCインターフェースに侵入した後、後続の操作をサポートするためにステージングサーバーから悪意のあるELFバイナリをデプロイしました。Interlockグループは、永続性を維持するためにカスタムリモートアクセストロイの木馬(RAT)とメモリ常駐型Webシェルを利用しました。
Recorded Future Malware Intelligenceによって分析されたスクリーンロッカーサンプルは、実行の遅延とデバッガの検出などの回避戦術を明かにしました。
さらに、ysoserialツールを利用した公開PoCがGitHubに浮上し、認証されていない行為者がこれらの攻撃を露出したシステムに対して如何に簡単に自動化できるかを示しました。
実行可能なインテリジェンスと観察された脅威行為者の行動に焦点を当てることで、防御者は洗練されたゼロデイキャンペーンからインフラストラクチャをより良く保護できます。
翻訳元: https://cyberpress.org/interlock-hits-cisco-zero-day/
