Les équipes de sécurité et les gestionnaires de réseau ont une nouvelle raison d'examiner d'urgence leurs pare-feu : le groupe Ransomware connu sous le nom d'Interlock a profité d'une vulnérabilité d'exécution de code à distance (ERC) dans le logiciel Cisco Secure Firewall Management Center (FMC) avant que la correction publique ne soit disponible.
Selon la télémétrie publiée par l'équipe de renseignement d'Amazon, l'exploitation active de cette décision a commencé à la fin janvier 2026, bien avant que Cisco ne rende la solution publique. La conclusion d'Amazon indique que les agresseurs ont eu une explosion fonctionnelle au moins depuis le 26 janvier, ce qui leur a donné un avantage en compromettant les systèmes avant que les défenseurs ne sachent exactement quoi chercher. Le rapport Amazon est disponible pour plus de contexte et de détails techniques sur votre blog de sécurité: Renseignements sur la menace amazonienne.
Cisco a lancé le patch le 4 mars 2026 et a accompagné la mise à jour d'un avis décrivant la vulnérabilité listée comme CVE-2026-20131. La société a averti que, sur les appareils non équipés, un attaquant non authentifié pourrait exécuter le code Java arbitraire avec des privilèges root via l'interface web FMC. La note de Cisco avec recommandations et téléchargement de mise à jour est disponible à votre centre de sécurité: Avis de sécurité de Cisco. Pour les données techniques standard et la surveillance CVE, le registre NVD offre une entrée publique: NVD · CVE-2026-20131.
Interlock n'est pas un acteur mineur : il est apparu publiquement en septembre 2024 et a été lié à d'autres campagnes antérieures qui comprenaient la distribution de chevaux de Troie à distance, comme NodeSnake, et les attaques contre les universités britanniques. Le groupe a attribué des incidents très médiatisés à des organismes de santé et d'éducation, y compris des victimes. En outre, les chercheurs d'IBM X-Force ont noté l'émergence d'une nouvelle charge malveillante associée au groupe, surnommé Slopoly, qui pourrait intégrer des outils basés sur l'intelligence artificielle générative pour étendre ses capacités d'attaque.
La combinaison d'une explosion de zéro jour et d'une cible aussi sensible que la console de gestion du pare-feu présente un risque élevé. La FMC est précisément le point à partir duquel la politique de sécurité du réseau est contrôlée; l'exécution à distance avec les privilèges racine permet à un attaquant de désactiver les règles, de déployer des routes malveillantes ou de se déplacer latéralement avec une liberté relative. C'est le genre d'accès qui transforme un écart en un incident de plus grande portée en très peu de temps..
Des recherches récentes montrent également que Cisco a dû réagir à un certain nombre de défaillances dans des environnements productifs au cours de l'année, ce qui met en évidence la pression exercée tant sur les fabricants que sur les équipements de sécurité intérieure. Dans ce scénario, la fenêtre entre découverte et exploitation peut être très courte, et les adversaires profitent de chaque jour qu'un patch n'est pas appliqué dans des environnements critiques.
Pour les gestionnaires de l'infrastructure qui gèrent Cisco FMC, la recommandation immédiate est claire : appliquer les mises à jour officielles fournies par Cisco et suivre les guides d'avis de sécurité. Au-delà du patch, il est approprié d'examiner l'accès à la console de gestion, de limiter son exposition à Internet, d'appliquer la segmentation du réseau pour isoler le FMC et d'analyser les dossiers pour déterminer l'activité suspecte avant le patch. Dans les scénarios où une correction immédiate n'est pas possible, atténuer l'exposition et surveiller les signaux d'engagement peut faire une différence.
Il y a une autre leçon stratégique : les attaquants se déplacent rapidement et, dans certains cas, ils profitent des capacités développées par des outils automatisés ou basés sur l'IA pour créer et adapter des logiciels malveillants. Cela accroît la nécessité d'exercices approfondis de défense, de télémétrie centralisée et d'intervention en cas d'incident, qui tiennent compte de la possibilité d'engagements initiaux au moyen de systèmes de gestion.
Enfin, la communauté de la sécurité et les fournisseurs doivent maintenir une communication harmonieuse. Le cas d'Amazon en détectant l'exploitation préalable et en partageant cette information avec Cisco pour accélérer la réponse est un exemple de collaboration qui contribue à réduire l'impact. La coordination entre les détecteurs, les fournisseurs et les opérateurs est désormais plus cruciale que jamais..
Si vous gérez un Cisco Secure FMC, vérifiez l'avis de Cisco et les indications d'atténuation dès que possible, et envisagez d'auditionner votre environnement pour détecter des signes d'activité anormale aux dates avant la publication du patch. Les ressources officielles mentionnées dans cet article constituent un bon point de départ pour une action rapide: Avis de sécurité de Cisco Rapport de campagne d'Amazon : Renseignements sur la menace amazonienne et le dossier public de la CVE: NVD · CVE-2026-20131.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...