La vulnerabilidad permite ejecución remota de código Java con privilegios root. Amazon detectó actividad maliciosa desde el 26 de enero, más de un mes antes de que Cisco publicara el advisory de seguridad el 4 de marzo.
Cisco confirmó el martes que la vulnerabilidad crítica CVE-2026-20131 en Cisco Secure Firewall Management Center (FMC) Software fue explotada activamente como zero-day por el grupo ransomware Interlock durante 36 días antes de su divulgación pública. El fallo, clasificado con la puntuación máxima CVSS 10.0, permite a un atacante remoto no autenticado ejecutar código Java arbitrario con privilegios root en dispositivos afectados mediante la deserialización insegura de objetos Java en la interfaz web de gestión. Amazon Threat Intelligence identificó la primera actividad de explotación el 26 de enero de 2026, mientras que Cisco no publicó el advisory de seguridad ni lanzó los parches correspondientes hasta el 4 de marzo.
La investigación de Amazon, detallada en su blog de seguridad, reveló que Interlock operó con una ventana de oportunidad significativa, más de cinco semanas durante las cuales los defensores desconocían completamente la existencia de la vulnerabilidad.
El equipo de inteligencia de amenazas de Amazon utilizó MadPot, su red global de sensores honeypot, para detectar la campaña y posteriormente acceder a un servidor de infraestructura mal configurado que exponía el toolkit operativo completo del grupo ransomware. Este hallazgo proporcionó visibilidad sin precedentes sobre la cadena de ataque multi-etapa, los troyanos de acceso remoto personalizados y las técnicas de evasión desplegadas por Interlock.
Según el advisory oficial de Cisco, la vulnerabilidad afecta a Cisco Secure FMC Software y Cisco Security Cloud Control (SCC) Firewall Management, independientemente de la configuración del dispositivo. La naturaleza del fallo, deserialización insegura de flujos de bytes Java suministrados por el usuario, significa que cualquier atacante que pueda alcanzar la interfaz de gestión web puede enviar un objeto serializado malicioso y obtener control total del sistema.
Cisco no ha identificado workarounds disponibles y recomienda encarecidamente actualizar a las versiones parcheadas lo antes posible. La compañía actualizó su advisory el 18 de marzo para reflejar la explotación en el salvaje tras recibir la información de Amazon.
El análisis temporal de los artefactos recuperados sugiere que los operadores de Interlock trabajan predominantemente en la zona horaria UTC+3, con actividad inicial alrededor de las 08:30, pico operativo entre las 12:00 y 18:00 y una ventana de baja actividad consistente de 00:30 a 08:30. Este patrón, junto con los sectores históricamente atacados por el grupo, apunta a una operación con posibles vínculos a Rusia, Bielorrusia o países de Medio Oriente.
Interlock ha concentrado sus ataques en sectores donde la interrupción operativa genera máxima presión para el pago: educación representa la mayor parte de su actividad, seguido por firmas de ingeniería, arquitectura y construcción, organizaciones manufactureras e industriales, proveedores de salud y entidades gubernamentales.
El toolkit operativo expuesto incluye un script de PowerShell para enumeración sistemática de entornos Windows recopilando configuración de almacenamiento, inventario de máquinas virtuales Hyper-V, listados de archivos de usuario, artefactos de navegadores Chrome, Edge, Firefox e Internet Explorer, conexiones de red activas, tablas ARP y eventos de autenticación RDP— además de múltiples implantes de acceso remoto en JavaScript y Java que proporcionan shell interactivo, ejecución de comandos arbitrarios, transferencia de archivos bidireccional y capacidades de proxy SOCKS5.
Los atacantes también desplegaron un script Bash que configura servidores Linux como proxies HTTP inversos, truncando archivos de log cada cinco minutos y suprimiendo el historial de shell para evadir la detección forense. Amazon ha publicado indicadores de compromiso completos para que las organizaciones detecten posible compromiso, disponibles junto con el análisis técnico detallado. Las organizaciones que operan Cisco Secure Firewall Management Center en LATAM deben aplicar inmediatamente los parches de seguridad y revisar los logs en busca de los IoCs publicados, priorizando la actualización en entornos con la interfaz de gestión expuesta a internet.
FUENTE ORIGINAL
Cisco PSIRT↗CURADO POR
Ricardo Burgos