Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

CVSS 10.0, root без авторизации и шесть недель форы у вымогателей. Amazon случайно нашла весь инструментарий Interlock

Interlock Cisco уязвимость zero-day фаервол FMC вымогатель
CVSS 10.0, root без авторизации и шесть недель форы у вымогателей. Amazon случайно нашла весь инструментарий Interlock
Interlock Cisco уязвимость zero-day фаервол FMC вымогатель

Под удар попала система управления межсетевыми экранами, а хакеры получили фору больше месяца.

image

Административная панель Cisco, через которую компании управляют межсетевыми экранами, оказалась удобной точкой входа для вымогателей. Amazon Threat Intelligence сообщила, что группировка Interlock эксплуатировала критическую уязвимость CVE-2026-20131 в Cisco Secure Firewall Management Center как минимум с 26 января 2026 года, а Cisco раскрыла проблему только 4 марта. Защитники получили тревожный пример настоящей уязвимости нулевого дня (zero-day): злоумышленники уже работают по цели, а исправления и публичного предупреждения ещё нет.

CVE-2026-20131 получила максимальную оценку по шкале CVSS (Common Vulnerability Scoring System — общепринятая система оценки уязвимостей) — 10,0. Уязвимость находится в веб-интерфейсе FMC (Firewall Management Center — центр управления межсетевыми экранами) и связана с небезопасной десериализацией пользовательского Java-потока. Cisco и NVD (National Vulnerability Database — национальная база данных уязвимостей) описывают сценарий так: внешний атакующий без авторизации может отправить специально подготовленный сериализованный объект, выполнить произвольный Java-код на устройстве и получить права root. Если интерфейс управления не выставлен в интернет, площадь атаки становится меньше, но проблема не исчезает.

Amazon вышла на кампанию через сеть ловушек MadPot, а затем получила редкую удачу для расследования: один из серверов Interlock оказался настроен с ошибками и раскрыл почти весь рабочий набор группировки. Исследователи увидели многоступенчатую цепочку атаки, скрипты разведки, вредоносные ELF-файлы (Executable and Linkable Format — исполняемые файлы Linux), собственные трояны удалённого доступа на JavaScript и Java, а также резидентный веб-шелл, который работает в памяти и не пишет файлы на диск. Такая связка говорит не о хаотичной криминальной атаке, а о хорошо отлаженной операции с запасными каналами доступа и подготовкой к долгому удержанию внутри сети.

Interlock старалась не только проникнуть в инфраструктуру, но и запутать расследование. По данным Amazon, злоумышленники поднимали промежуточные Linux-узлы с HAProxy, чтобы скрыть источник трафика, и обрезали логи каждые пять минут. Главными целями Amazon называет образование, инженерные и строительные компании, промышленность, медицину, а также госсектор. 19 марта 2026 года CISA (Cybersecurity and Infrastructure Security Agency — агентство кибербезопасности и защиты инфраструктуры США) добавило CVE-2026-20131 в каталог KEV (Known Exploited Vulnerabilities — реестр активно эксплуатируемых уязвимостей), а такой шаг обычно означает одно: обновления уже нельзя откладывать даже на несколько дней.