Sicherheitsteams und Netzwerkmanager haben einen neuen Grund, ihre Firewalls dringend zu überprüfen: Die Ransomware-Gruppe, die als Interlock bekannt ist, nutzt eine Remote-Code-Ausführung Sicherheitslücke (CERs) im Cisco Secure Firewall Management Center (FMC) Software, bevor die öffentliche Korrektur zur Verfügung stand.
Laut Telemetrie, die von Amazons Intelligenz-Team veröffentlicht wurde, begann die aktive Ausbeutung dieser Entscheidung Ende Januar 2026, lange bevor Cisco die Lösung öffentlich machte. Amazons Erkenntnis deutet darauf hin, dass die Angreifer zumindest seit dem 26. Januar eine funktionelle Explosion hatten, was ihnen einen Vorteil beim Kompromieren von Systemen gab, bevor die Verteidiger genau wussten, wonach sie suchen sollten. Der Amazon-Bericht ist für mehr Kontext und technische Details auf Ihrem Security-Blog verfügbar: Amazon Threat Intelligence.
Cisco startete den Patch am 4. März 2026 und begleitete das Update mit einer Mitteilung, die die Schwachstelle beschreibt, die als CVE-2026-20131 aufgeführt ist. Das Unternehmen warnte, dass auf unpatched Geräten ein nicht authentifizierter Angreifer willkürlicher Java-Code mit Root-Privilegien über die FMC-Web-Schnittstelle ausführen konnte. Ciscos eigene Note mit Empfehlungen und Update-Download ist in Ihrem Sicherheitszentrum verfügbar: Cisco Security Advisory. Für Standard-Technische Daten und CVE-Überwachung bietet das NVD-Register einen öffentlichen Eintrag: NVD · CVE-2026-20131.
Interlock ist kein kleiner Schauspieler: es wurde öffentlich im September 2024 und wurde mit anderen früheren Kampagnen, die die Verteilung von Remote-Access-Trojanern, wie NodeSnake, und Angriffe auf britische Universitäten. Die Gruppe hat hochkarätige Vorfälle gegen Gesundheits- und Bildungsorganisationen, einschließlich Opfer, zugeschrieben. Darüber hinaus haben IBM X-Force-Forscher die Entstehung einer neuen böswilligen Last, die mit der Gruppe verbunden ist, nicknamed Slopoly, die möglicherweise Werkzeuge auf Basis generativer künstlicher Intelligenz enthält, um seine Angriffsfähigkeit zu erweitern.
Die Kombination einer Zero-Day-Explosion und eines so empfindlichen Targets wie die Firewall-Management-Konsole stellt ein hohes Risiko dar. Das FMC ist genau der Punkt, von dem die Netzsicherheitspolitik kontrolliert wird; die Erlangung einer Remote-Ausführung mit Root-Privilegien ermöglicht es einem Angreifer, Regeln zu deaktivieren, bösartige Routen einzusetzen oder sich seitlich mit relativer Freiheit zu bewegen. Es ist die Art des Zugangs, der eine Lücke in einem größeren Zwischenfall in kürzester Zeit verwandelt..
Die jüngste Forschung zeigt auch, dass Cisco im Laufe des Jahres auf eine Reihe von Versagen in produktiven Umgebungen reagieren musste, was den Druck sowohl auf Hersteller als auch auf interne Sicherheitseinrichtungen unterstreicht. In diesem Szenario kann das Fenster zwischen Entdeckung und Ausbeutung sehr kurz sein, und die Gegner profitieren von jedem Tag, dass ein Patch nicht in kritischen Umgebungen angewendet wird.
Für Infrastrukturbetreiber, die Cisco FMC verwalten, ist die sofortige Empfehlung klar: die offiziellen Updates von Cisco anwenden und den Sicherheitshinweisen folgen. Über das Patch hinaus sollte der Zugriff auf die Management-Konsole überprüft werden, die Exposition gegenüber dem Internet einschränken, Netzwerksegmentierung anwenden, um das FMC zu isolieren und die Datensätze für verdächtige Aktivitäten vor dem Patch zu analysieren. In Szenarien, in denen eine sofortige Korrektur nicht möglich ist, kann eine Minderung der Belichtungs- und Überwachungsverpflichtungssignale einen Unterschied machen.
Es gibt eine weitere strategische Lektion: Angreifer bewegen sich schnell und in einigen Fällen nutzen Fähigkeiten erweitert durch automatisierte oder IA-basierte Tools, um Malware zu erstellen und anzupassen. Dies erhöht die Notwendigkeit einer eingehenden Verteidigung, einer zentralisierten Telemetrie und einer zufälligen Reaktion, die die Möglichkeit von anfänglichen Verpflichtungen durch Managementsysteme in Betracht zieht.
Schließlich müssen die Sicherheitsgemeinschaft und die Lieferanten eine reibungslose Kommunikation pflegen. Der Fall von Amazon durch die Erkennung der vorherigen Nutzung und die Weitergabe dieser Informationen mit Cisco, um die Reaktion zu beschleunigen, ist ein Beispiel der Zusammenarbeit, die hilft, die Auswirkungen zu reduzieren. Die Koordination zwischen Detektoren, Lieferanten und Betreibern ist jetzt genauso entscheidend wie je zuvor..
Wenn Sie ein Cisco Secure FMC verwalten, überprüfen Sie Ciscos Mitteilungs- und Minderungshinweise so schnell wie möglich und prüfen Sie, Ihre Umgebung für Anzeichen einer abnormalen Aktivität an den Daten vor dem Patch zu auditieren. Die in diesem Artikel genannten offiziellen Mittel sind ein guter Ausgangspunkt für schnelle Maßnahmen: Sicherheitshinweis von Cisco Amazons Kampagnenbericht: Amazon Threat Intelligence und der öffentliche Rekord von CVE: NVD · CVE-2026-20131.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...