Interlock Gang arme un Zero-Day de Cisco FMC dans des campagnes de ransomware
Le groupe de ransomware Interlock exploite activement une vulnérabilité d'exécution de code à distance auparavant inconnue dans le logiciel Secure Firewall Management Center (FMC) de Cisco depuis fin janvier 2026. La faille zero-day a une cote de gravité maximale, permettant aux attaquants de compromettre complètement le système sur les déploiements FMC vulnérables sans aucune interaction utilisateur ni exigence d'authentification.
Le Secure Firewall Management Center de Cisco sert de plateforme de gestion centralisée pour l'infrastructure de pare-feu de nouvelle génération de Cisco, ce qui en fait une cible de grande valeur pour les acteurs malveillants. Le logiciel FMC gère les politiques de sécurité, les configurations des appareils et la surveillance du réseau à travers les déploiements de pare-feu d'entreprise. Lorsqu'il est compromis, les attaquants obtiennent le contrôle administratif de l'ensemble de l'infrastructure de pare-feu d'une organisation, démantelant effectivement les frontières de sécurité du réseau.
Les chercheurs en sécurité ont détecté pour la première fois l'activité d'exploitation à la mi-février 2026, mais l'analyse médico-légale a révélé qu'Interlock exploitait la vulnérabilité depuis plusieurs semaines auparavant. Les attaques du gang de ransomware suivent un schéma cohérent : compromission initiale via la vulnérabilité FMC, mouvement latéral à travers le réseau en utilisant des identifiants de pare-feu compromis, et déploiement de leur charge utile de chiffrement personnalisée ciblant les systèmes d'affaires critiques.
La vulnérabilité semble provenir d'une validation d'entrée incorrecte dans l'interface de gestion web du FMC. Les attaquants peuvent créer des requêtes HTTP malveillantes qui contournent les mécanismes d'authentification et exécutent du code arbitraire avec des privilèges root sur le système Linux sous-jacent. Ce vecteur d'attaque ne nécessite pas de positionnement réseau spécial, car l'interface web FMC est généralement accessible depuis les réseaux de gestion que les attaquants peuvent atteindre après une compromission initiale du réseau.
La technique d'exploitation d'Interlock démontre une compréhension sophistiquée de l'architecture FMC de Cisco. Le groupe a développé un code d'exploitation fiable qui fonctionne sur plusieurs versions du logiciel FMC, suggérant des phases de reconnaissance et de test approfondies. Le catalogue des vulnérabilités exploitées connues de la CISA a été mis à jour pour refléter le statut d'exploitation active, marquant cela comme une menace critique pour les agences fédérales et les organisations du secteur privé.
Les déploiements de Cisco FMC font face à un risque d'exposition critique
Les organisations utilisant le logiciel Cisco Secure Firewall Management Center sur toutes les versions actuellement prises en charge font face à un risque immédiat en raison de cette vulnérabilité zero-day. La faille affecte les déploiements FMC dans les configurations d'appliance physique et virtuelle, y compris les instances hébergées dans le cloud sur les plateformes AWS, Azure et VMware. Cisco n'a pas encore publié d'informations spécifiques sur les versions, mais les chercheurs en sécurité indiquent que la vulnérabilité impacte les versions du logiciel FMC publiées au cours des 18 derniers mois.
Les environnements d'entreprise avec une gestion centralisée des pare-feu sont particulièrement vulnérables, car une seule instance FMC compromise peut fournir aux attaquants un accès administratif à des centaines ou des milliers de dispositifs de pare-feu gérés. Les services financiers, les soins de santé, les agences gouvernementales et les opérateurs d'infrastructures critiques représentent les secteurs à plus haut risque, étant donné leur dépendance aux appareils de sécurité Cisco et la nature sensible de leur trafic réseau.
La cote de gravité maximale de la vulnérabilité reflète son potentiel de compromission complète du système sans nécessiter d'interaction utilisateur ou d'accès réseau existant. Les attaquants peuvent exploiter la faille à distance via des connexions HTTPS à l'interface de gestion FMC, qui est couramment exposée aux réseaux de gestion internes. Les organisations qui ont mis en œuvre une segmentation du réseau peuvent encore être à risque si les attaquants ont obtenu un accès initial aux VLAN de gestion par d'autres vecteurs d'attaque.
Les petites et moyennes entreprises utilisant Cisco FMC dans des architectures réseau simplifiées font face à un risque supplémentaire, car elles manquent souvent des capacités de surveillance de sécurité pour détecter les tentatives d'exploitation initiales. L'exploitation de la vulnérabilité laisse peu de preuves médico-légales dans les journaux système standard, rendant la détection difficile sans outils de surveillance de sécurité spécialisés axés sur les activités administratives FMC.
Réponse immédiate et stratégies d'atténuation pour la vulnérabilité Cisco FMC
En l'absence de correctif officiel actuellement disponible de Cisco, les organisations doivent mettre en œuvre des mesures défensives immédiates pour protéger leurs déploiements FMC. L'atténuation à court terme la plus efficace consiste à restreindre l'accès réseau à l'interface de gestion FMC via des règles de pare-feu et des listes de contrôle d'accès. Les organisations devraient limiter l'accès HTTPS à l'interface web FMC uniquement aux postes de gestion essentiels et mettre en œuvre des couches d'authentification supplémentaires telles que l'accès VPN ou les serveurs de saut.
Les administrateurs réseau devraient immédiatement examiner les journaux d'accès FMC pour détecter des tentatives d'authentification suspectes ou des activités administratives inhabituelles. Les indicateurs clés de compromission incluent des changements de configuration inattendus, la création de nouveaux comptes utilisateur, des modifications de politiques en dehors des fenêtres de changement normales, et des connexions réseau inhabituelles du système FMC vers des ressources internes. Les organisations devraient également surveiller les connexions sortantes des systèmes FMC vers des adresses IP externes, car cela peut indiquer une communication de commande et de contrôle.
Pour les organisations qui ne peuvent pas restreindre immédiatement l'accès FMC, la mise en œuvre d'une surveillance réseau supplémentaire autour de l'interface de gestion fournit une visibilité critique. Déployez des systèmes de détection d'intrusion réseau pour surveiller le trafic HTTP/HTTPS vers les systèmes FMC, en se concentrant sur les requêtes POST vers les points de terminaison administratifs et les réponses indiquant un contournement réussi de l'authentification. Les chercheurs en sécurité ont identifié des modèles de requêtes HTTP spécifiques associés aux tentatives d'exploitation d'Interlock.
Les organisations devraient se préparer à des procédures d'isolement d'urgence FMC, y compris des étapes documentées pour déconnecter les systèmes FMC du réseau tout en maintenant l'application des politiques de pare-feu via des configurations de dispositifs locaux. Cette préparation assure la continuité des activités si une exploitation active est détectée. De plus, les organisations devraient vérifier que les sauvegardes des dispositifs de pare-feu sont à jour et stockées en toute sécurité hors ligne, car les systèmes FMC compromis peuvent être utilisés pour corrompre ou supprimer les sauvegardes de configuration stockées sur les dispositifs gérés.
