Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Interlock Ransomware ги таргетира корпоративните заштитни ѕидови на Cisco

Објавено: 23.03.2026

Рансомвер групата позната по двојни уцени (double-extortion) имала пристап до критична ранливост во Cisco firewall системите неколку недели пред таа да биде јавно откриена и закрпена.

Според предупредување од Amazon Web Services (AWS), кампањата на Interlock ransomware користи CVE-2026-20131 — критична ранливост со CVSS оценка 10.0 во веб-базираната управувачка компонента на Cisco Secure Firewall Management Center (FMC) софтверот. Оваа ранливост овозможува неавтентициран, далечински напаѓач да извршува произволен Java код како root на погоден уред.

Cisco ја објави ранливоста на 4 март, наведувајќи дека е предизвикана од „небезбедна десериализација на Java податочен поток доставен од корисникот“. Напаѓачот може да испрати специјално креиран сериализиран Java објект кон ранливиот веб интерфејс.

CVE-2026-20131 ги зафаќа сите непачирани верзии на:

  • Cisco Secure FMC Software
  • Cisco Security Cloud Control (SCC)

SCC е SaaS производ кој се ажурира автоматски, но корисниците на FMC треба веднаш да надградат на безбедна верзија. Cisco исто така нагласи дека ASA и FTD софтверите не се засегнати од оваа ранливост.

Како функционира нападот

Според истражувањето на AWS и нивниот CISO CJ Moses, групата Interlock ја користела ранливоста уште од 26 јануари, што значи дека станува збор за zero-day експлоатација.

Клучни елементи на нападот:

  • Напаѓачите користат exploit за да добијат почетен пристап преку firewall-от
  • Извршуваат PowerShell скрипти за извидување (enumeration) и собирање податоци
  • Креираат директориуми за складирање на украдени информации
  • Инсталираат Remote Access Trojan (RAT) за целосна контрола
  • Воспоставуваат command & control (C2) комуникација

Дополнително, забележано е користење на:

  • JavaScript и Java backdoor-и
  • BASH скрипти за прикривање (relay мрежи)
  • Малициозни алатки што работат во меморија (за избегнување антивирус)
  • Легитимни алатки за далечински пристап за одржување пристап

Зошто се таргетираат firewall-и

Firewall уредите се честа мета бидејќи:

  • Се директно изложени на интернет
  • Често имаат сложен и проприетарен софтвер со пропусти
  • Претставуваат „влезна точка“ за понатамошно движење низ мрежата

Истражувањата покажуваат дека edge уредите (firewall-и, VPN-и) се меѓу најчесто експлоатираните цели.

Препораки

  • Веднаш ажурирајте ги Cisco FMC системите на закрпените верзии
  • Користете Cisco Software Checker за проверка на изложеност
  • Не изложувајте управувачки интерфејси директно на интернет
  • Имплементирајте „defense in depth“ (повеќеслојна заштита)

👉 Овој случај покажува колку се опасни zero-day ранливостите — напаѓачите можат да ги злоупотребуваат системите дури и пред да постои официјална закрпа.

Извори:

  • DarkReading – Interlock Ransomware Targets Cisco Enterprise Firewalls DarkReading