Les administrateurs ont été confrontés à une urgence en matière de correctifs alors qu’Amazon révèle que le ransomware Interlock a commencé à cibler la faille FMC en janvier.
L’un des groupes de ransomwares les plus actifs au monde, Interlock, a commencé à exploiter une vulnérabilité critique du pare-feu Cisco quelques semaines avant son patch début mars, a révélé Amazon.
La vulnérabilité en question est CVE-2026-20131, une faille de désérialisation exploitable à distance dans le logiciel Cisco Secure Firewall Management Center (FMC) qui a reçu un score CVSS maximum de 10.
Lorsque Cisco a publié un correctif le 4 mars dans le cadre de sa mise à jour semestrielle du pare-feu, les équipes de sécurité savaient que ce correctif devait être appliqué de toute urgence, ainsi qu’un correctif pour une deuxième vulnérabilité FMC, CVE-2026-20079, avec un indice de gravité identique.
Cependant, la découverte par Amazon selon laquelle Interlock a commencé à exploiter CVE-2026-20131 le 26 janvier, environ 38 jours avant la publication du correctif, transforme le problème de simple « urgent » en quelque chose qui s’apparente à une véritable urgence de correction de vulnérabilité Zero Day.
Erreur de l’attaquant
Amazon a déclaré avoir commencé à rechercher une exploitation du CVE-2026-20131 après l’avis de Cisco, en utilisant le réseau mondial MadPot de l’entreprise, un système de pot de miel comprenant des milliers de capteurs déployés sur sa plate-forme AWS.
Cela a rapidement révélé des attaques datant de plusieurs semaines avant que la vulnérabilité ne soit rendue publique. « L’activité observée impliquait des requêtes HTTP vers un chemin spécifique dans le logiciel concerné », a déclaré CJ Moses, RSSI d’Amazon Integrated Security, dans un blog cette semaine.
Amazon a obtenu un aperçu de l’infrastructure de l’attaquant en utilisant le pot de miel pour imiter un système de pare-feu vulnérable. Cela a entraîné une attaque sur le pot de miel, qui a reçu un binaire malveillant de la part des attaquants ; il a également révélé que le ransomware dépendait d’un seul serveur doté d’une zone de transit mal sécurisée.
À partir de là, les chercheurs ont pu analyser toute la chaîne d’attaque du groupe, y compris les chevaux de Troie, les scripts de reconnaissance et les techniques d’évasion.
Déverrouillage du verrouillage
Selon Amazon, les outils et techniques relient le malware à Interlock, un acteur du ransomware apparu en 2024, peut-être en tant que ransomware-as-a-service (RaaS) émanation du célèbre groupe Rhysida qui était à l’origine de l’attaque de ransomware extrêmement perturbatrice de 2023 contre la British Library.
« Le binaire ELF (exécutable Linux) et les artefacts associés sont attribuables à la famille de ransomwares Interlock sur la base d’indicateurs techniques et opérationnels convergents. La demande de rançon intégrée et le portail de négociation TOR sont cohérents avec la marque et l’infrastructure établies d’Interlock », a déclaré Moses d’Amazon.
Dans le passé, Interlock avait ciblé des secteurs tels que l’éducation, l’ingénierie, l’architecture, la construction, l’industrie manufacturière et la santé, ainsi que des entités gouvernementales et du secteur public, a déclaré Moses.
Cependant, étant donné que le groupe est parvenu à exploiter depuis plus d’un mois une vulnérabilité zero-day sur des équipements aussi répandus que les pare-feu Cisco, toute organisation vulnérable pourrait être en danger.
Le « défi fondamental » des exploits du jour zéro
« La véritable histoire ici ne concerne pas seulement une vulnérabilité ou un groupe de ransomwares : il s’agit du défi fondamental que les exploits Zero Day posent à chaque modèle de sécurité », a déclaré Moses.
« Lorsque des attaquants exploitent des vulnérabilités avant que les correctifs n’existent, même les programmes de correctifs les plus diligents ne peuvent pas vous protéger pendant cette fenêtre critique. C’est précisément pourquoi une défense en profondeur est essentielle. »
On ne sait toujours pas combien de victimes Interlock a pu compromettre au cours de la période pendant laquelle il a pu exploiter CVE-2026-20131 en tant que vulnérabilité zero-day, mais il est probable qu’elles soient nombreuses. Le blog Amazon comprend une liste d’adresses IP, de domaines malveillants et de hachages d’empreintes digitales de clients JA3 que les équipes de sécurité peuvent rechercher dans les journaux comme preuve d’une éventuelle compromission.
La procédure de mise à jour du correctif CVE-2026-20131 et des 47 autres CVE inclus dans la mise à jour de Cisco du 4 mars varie en fonction de la version du logiciel FMC installée. Cisco recommande d’utiliser son vérificateur de logiciel pour déterminer la mise à jour appropriée.
