在公开披露之前，思科防火墙零日漏洞被用来部署 Interlock 勒索软件

一个批评的思科安全防火墙管理中心在思科披露并修补该漏洞之前，Interlock 勒索软件组织已将该漏洞作为零日漏洞加以利用。它观察到联锁利用CVE-2026-20131从 2026 年 1 月 26 日开始，距离思科 3 月 4 日发布公告还有 36 天。

该漏洞影响思科安全防火墙管理中心或 FMC，并且可以让未经身份验证的远程攻击者以 root 身份在易受攻击的设备上执行任意 Java 代码。思科和 NVD 表示，该问题源于基于 Web 的管理界面中不安全的反序列化。

研究人员发现配置错误的 Interlock 临时服务器暴露了该组织的大部分工具包。该服务器使 AWS 能够了解攻击者的漏洞利用流程、Linux 和 Windows 有效负载、远程访问工具以及部分规避链。 AWS 还表示，其自己的基础设施和客户工作负载并未参与此次活动。

，最初的利用活动针对易受攻击的 FMC 软件中的特定 HTTP 路径，包括 Java 代码执行尝试以及嵌入的 URL。其中一个 URL 提供了该漏洞利用的配置数据，而另一个 URL 通过使目标通过 HTTP PUT 请求上传生成的文件来确认成功入侵。

为了推动调查，AWS 研究人员通过返回预期的 PUT 请求和文件内容来模拟受感染的主机。这促使攻击者进入下一阶段并发送命令以从远程服务器获取并执行恶意 ELF 二进制文件。 AWS 表示，同一基础设施托管了更广泛的 Interlock 工具包，为各个受害者安排了不同的路径。

AWS 根据恢复的 ELF 二进制文件、赎金票据和 TOR 谈判门户，将这次操作归因于 Interlock，所有这些都与该组织已知的品牌和操作模式相匹配。该公司表示，Interlock 继续瞄准那些中断造成支付压力的行业，包括教育、工程、建筑、制造、医疗保健和政府。

为什么 CVE-2026-20131 如此严重

思科对 CVE-2026-20131 进行评级为“严重”，NVD 显示 CVSS 3.1 基本分数为 10.0。该漏洞不需要身份验证，也不需要用户交互，这使得暴露的管理界面风险特别大。NVD 还指出如果 FMC 管理界面没有公共互联网访问权限，攻击面就会下降。

该缺陷的存在是因为 FMC 以攻击者可能滥用的方式接受不受信任的序列化 Java 数据。思科的通报将根本原因描述为用户提供的 Java 字节流的不安全反序列化，这可能导致以 root 身份在设备上执行代码。

攻击并没有停止在防火墙处

思科利用这一漏洞获得了立足点，然后部署了更广泛的工具包来实现持久性、侦察和远程控制。恢复的工件包括用于 Windows 环境枚举的 PowerShell 脚本、JavaScript 远程访问木马、Java 后门、使用 HAProxy 将 Linux 服务器转变为反向代理的 Bash 脚本以及驻留内存的 Java Webshel​​l。

这种混合很重要，因为它表明 Interlock 并未将防火墙视为最终目标。 AWS 描述了一种多阶段入侵路径，旨在在勒索软件阶段之前扩展访问、映射受害者环境并维护冗余控制通道。

思科 FMC 零日漏洞概览

时机与漏洞本身一样重要。 AWS 表示，该勒索软件组织在披露之前使用了该漏洞一个多月，这为该勒索软件组织在防御者获得补丁或公开 CVE 进行追捕之前提供了一个有意义的窗口来危害组织。

防守者现在应该做什么

• 使用思科的固定版本指南立即修补思科安全防火墙管理中心。
• 尽可能删除或严格限制公众对 FMC 管理界面的访问。
• 寻找与 Interlock 相关的行为，而不是仅仅依赖文件哈希，因为 AWS 表示该组织为每个受害者定制了工件。
• 检查系统是否存在异常 HTTP PUT 活动、意外 ELF 下载、内存驻留 Java 组件以及泄露后侦察行为。
• 检查 AWS 发布的妥协指标，并将其与防火墙、服务器和代理日志进行映射。

FAQ