As equipes de segurança e os gestores de redes têm um novo motivo para revisar com urgência seus corta-fogos: o grupo de ransomware conhecido como Interlock tem aproveitado uma vulnerabilidade de execução remota de código (RCE) no software Cisco Secure Firewall Management Center (FMC) antes de a correção pública estar disponível.
De acordo com a telemetria publicada pela equipe de inteligência da Amazon, a exploração ativa deste erro começou no final de janeiro de 2026, muito antes de a Cisco ter tornado pública a solução. O achado da Amazon indica que os atacantes contavam com um exploit funcional pelo menos desde 26 de janeiro, o que lhes deu uma vantagem para comprometer sistemas antes que os defensores soubessem exatamente o que procurar. Você pode consultar o relatório da Amazon para mais contexto e detalhes técnicos em seu blog de segurança: Amazon Threat Intelligence.
A Cisco lançou o adesivo em 4 de março de 2026 e acompanhou a atualização com um aviso que descreve a vulnerabilidade catalogada como CVE-2026-20131. A empresa advertiu que, em dispositivos sem adesivo, um atacante não autenticado poderia executar código Java arbitrário com privilégios de root através da interface web do FMC. A própria nota da Cisco com as recomendações e a transferência de atualização está disponível no seu centro de segurança: Cisco Security Advisory. Para dados técnicos padrão e seguimento do CVE, o registro do NVD oferece uma entrada pública: NVD · CVE-2026-20131.
Interlock não é um ator menor: emergiu publicamente em setembro de 2024 e tem sido relacionado com outras campanhas prévias que incluíram a distribuição de troianos de acesso remoto, como NodeSnake, e ataques a universidades do Reino Unido. O grupo tem se atribuído incidentes de alto perfil contra organizações do setor saúde e educação, entre outras vítimas. Além disso, pesquisadores da IBM X-Force têm apontado o aparecimento de uma nova carga maliciosa associada ao grupo, apodada Slopoly, que possivelmente incorpore ferramentas baseadas em inteligência artificial gerativa para ampliar suas capacidades de ataque.
A combinação de um exploit de dia zero e um objetivo tão sensível como a consola de gestão de curta-fogos representa um risco elevado. O FMC é precisamente o ponto de controlar a política de segurança da rede; conseguir execução remota com privilégios de root permite a um atacante desativar regras, implantar rotas maliciosas, ou mover-se lateralmente com relativa liberdade. É o tipo de acesso que torna uma lacuna num incidente de alcance maior em muito pouco tempo.
Pesquisas recentes mostram ainda que a Cisco teve de responder a vários erros explorados em ambientes produtivos no que vai de ano, o que sublinha a pressão a que estão submetidos tanto os fabricantes quanto os equipamentos internos de segurança. Neste cenário, a janela entre descoberta e exploração pode ser muito curta, e os adversários beneficiam de cada dia que um adesivo não é aplicado em ambientes críticos.
Para os responsáveis pelas infra-estruturas que administram a Cisco FMC, a recomendação imediata é clara: aplicar as actualizações oficiais fornecidas pela Cisco e seguir os guias de segurança. Para além do adesivo, convém rever os acessos à consola de gestão, restringir a sua exposição à Internet, aplicar segmentação de rede para isolar o FMC e analisar os registros em busca de atividade suspeita prévia ao adesivo. Em cenários onde a correção imediata não seja possível, mitigar a exposição e monitorar sinais de comprometimento pode marcar a diferença.
Há outra lição estratégica: os atacantes estão se movendo rápido e, em alguns casos, aproveitando capacidades ampliadas por ferramentas automatizadas ou baseadas em IA para criar e adaptar malware. Isto aumenta a necessidade de defesa em profundidade, telemetria centralizada e exercícios de resposta a incidentes que considerem a possibilidade de compromissos iniciais através de sistemas de gestão.
Finalmente, a comunidade de segurança e os fornecedores devem manter uma comunicação fluida. O caso da Amazon detectando exploração prévia e compartilhando essa informação com a Cisco para acelerar a resposta é um exemplo de colaboração que ajuda a reduzir o impacto. A coordenação entre detectores, fornecedores e operadores é hoje tão crucial como nunca.
Se você gerir um Cisco Secure FMC, verifique o aviso da Cisco e as indicações de mitigação, e considere auditar o seu ambiente em busca de sinais de atividade anormal nas datas anteriores à publicação do adesivo. Os recursos oficiais referidos neste artigo são um bom ponto de partida para agir rapidamente: Aviso de segurança da Cisco, o relatório da Amazon sobre a campanha: Amazon Threat Intelligence, e a ficha pública do CVE: NVD · CVE-2026-20131.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...