Campagne de ransomware Interlock exploitant une faille zero-day dans Cisco FMC
Une vulnérabilité critique dans le logiciel Firewall Management Center (FMC) de Cisco a été activement exploitée comme vecteur d'attaque zero-day par le groupe de ransomware Interlock depuis fin janvier 2026. La faille, suivie sous le nom CVE-2026-20131, permet à des attaquants distants d'exécuter du code arbitraire sur des systèmes FMC vulnérables sans authentification. L'équipe de recherche en sécurité d'Amazon a découvert des preuves de l'exploitation lors de leur enquête sur des incidents récents de ransomware affectant plusieurs organisations.
La vulnérabilité affecte l'interface de gestion web de Cisco FMC, que les organisations utilisent pour gérer centralement leurs déploiements de Cisco Firepower Next-Generation Firewall. Les attaquants ont exploité une faiblesse de traversée de chemin combinée à une validation d'entrée incorrecte pour télécharger des fichiers malveillants et obtenir un accès initial aux réseaux cibles. Les opérateurs de ransomware Interlock ont ensuite utilisé ce point d'appui pour se déplacer latéralement à travers les environnements compromis et déployer leurs charges utiles de chiffrement.
Cisco a divulgué la vulnérabilité le 18 mars 2026, après avoir coordonné avec l'équipe de renseignement sur les menaces d'Amazon et confirmé l'exploitation active dans la nature. Le géant du réseau a attribué un score CVSS de 9,8 à la faille, reflétant sa gravité critique et la facilité d'exploitation. Les chercheurs en sécurité ont noté que la vulnérabilité ne nécessite aucune interaction de l'utilisateur et peut être exploitée à distance via le réseau, ce qui la rend particulièrement attrayante pour les opérateurs de ransomware cherchant des vecteurs d'accès initiaux.
L'Agence de cybersécurité et de sécurité des infrastructures (CISA) a rapidement ajouté CVE-2026-20131 à son catalogue des vulnérabilités exploitées connues le 19 mars 2026, exigeant que les agences fédérales corrigent les systèmes affectés dans un délai de 21 jours. Cette inclusion rapide souligne la gravité de la menace et l'exploitation confirmée par des groupes de ransomware ciblant des organisations d'infrastructures critiques.
Déploiements de Cisco FMC sous attaque active
La vulnérabilité impacte toutes les versions du logiciel Cisco Firewall Management Center antérieures à la version 7.4.2, affectant des milliers d'organisations dans le monde qui dépendent de la plateforme de gestion de sécurité de Cisco. Les réseaux d'entreprise exécutant les versions FMC 6.6.0 à 7.4.1 sont particulièrement vulnérables, car ces versions contiennent le chemin de code exploitable que les opérateurs de ransomware Interlock ont ciblé. Les organisations utilisant FMC dans des déploiements sur site sont les plus à risque, car la vulnérabilité peut être exploitée directement via des interfaces de gestion exposées à Internet.
L'analyse du renseignement sur les menaces d'Amazon a révélé que le groupe de ransomware Interlock a spécifiquement ciblé des organisations dans les secteurs de la fabrication, de la santé et des services financiers lors de leur campagne d'exploitation. Les attaquants semblaient se concentrer sur les entreprises de taille moyenne à grande avec des infrastructures réseau complexes qui dépendent fortement de la gestion centralisée des pare-feu. Les chercheurs en sécurité estiment que plus de 15 000 instances FMC dans le monde pourraient être vulnérables à ce vecteur d'attaque, sur la base des données de balayage Internet et des statistiques de base installée de Cisco.
La campagne d'exploitation a particulièrement affecté les organisations qui ont exposé leurs interfaces de gestion FMC à Internet pour des raisons d'administration à distance. De nombreuses entreprises ont adopté cette configuration pendant la pandémie pour permettre la gestion de la sécurité à distance, créant involontairement des surfaces d'attaque que les opérateurs de ransomware pouvaient exploiter. La vulnérabilité impacte également les déploiements FMC dans les environnements cloud, où les organisations configurent souvent l'accès à la gestion via des adresses IP publiques ou des concentrateurs VPN.
Correction et atténuation immédiates requises
Cisco a publié des correctifs d'urgence pour CVE-2026-20131 le 18 mars 2026, exhortant les clients à mettre à jour leur logiciel FMC immédiatement. La correction est disponible dans la version FMC 7.4.2 et les versions ultérieures, qui traitent la vulnérabilité de traversée de chemin et mettent en œuvre des contrôles supplémentaires de validation d'entrée. Les organisations devraient prioriser la correction des instances FMC exposées à Internet en premier, car ces systèmes sont les plus à risque d'exploitation par les opérateurs de ransomware.
Pour les organisations incapables de corriger immédiatement, Cisco recommande de mettre en œuvre des contrôles d'accès au niveau du réseau pour restreindre l'accès à l'interface de gestion FMC aux seules adresses IP de confiance. Les administrateurs devraient configurer des règles de pare-feu pour bloquer l'accès externe aux ports TCP 443 et 8305, que l'interface web FMC utilise pour les connexions HTTPS. De plus, les organisations devraient activer l'authentification multi-facteurs pour tous les comptes administratifs FMC et examiner les journaux d'accès pour détecter des tentatives d'authentification suspectes ou des activités de téléchargement de fichiers.
L'avis de sécurité officiel de Cisco fournit des conseils détaillés de remédiation, y compris des commandes de configuration spécifiques pour mettre en œuvre des restrictions d'accès. Les équipes de sécurité devraient également déployer des outils de surveillance du réseau pour détecter des schémas de mouvement latéral cohérents avec les tactiques de ransomware Interlock, tels que le trafic SMB inhabituel, les activités de vidage de crédentiels et les tentatives d'accès aux contrôleurs de domaine. Les organisations qui soupçonnent une compromission devraient immédiatement isoler les systèmes FMC affectés et engager des équipes de réponse aux incidents pour évaluer l'étendue du déploiement potentiel de ransomware.
