CVSS 10.0, root без авторизации и шесть недель форы у вымогателей. Amazon случайно нашла весь инструментарий Interlock
NewsMakerПод удар попала система управления межсетевыми экранами, а хакеры получили фору больше месяца.
Административная панель Cisco, через которую компании управляют межсетевыми экранами, оказалась удобной точкой входа для вымогателей. Amazon Threat Intelligence сообщила , что группировка Interlock эксплуатировала критическую уязвимость CVE-2026-20131 в Cisco Secure Firewall Management Center как минимум с 26 января 2026 года, а Cisco раскрыла проблему только 4 марта. Защитники получили тревожный пример настоящей уязвимости нулевого дня (zero-day): злоумышленники уже работают по цели, а исправления и публичного предупреждения ещё нет.
CVE-2026-20131 получила максимальную оценку по шкале CVSS (Common Vulnerability Scoring System — общепринятая система оценки уязвимостей) — 10,0. Уязвимость находится в веб-интерфейсе FMC (Firewall Management Center — центр управления межсетевыми экранами) и связана с небезопасной десериализацией пользовательского Java-потока. Cisco и NVD (National Vulnerability Database — национальная база данных уязвимостей) описывают сценарий так: внешний атакующий без авторизации может отправить специально подготовленный сериализованный объект, выполнить произвольный Java-код на устройстве и получить права root. Если интерфейс управления не выставлен в интернет, площадь атаки становится меньше, но проблема не исчезает.
Amazon вышла на кампанию через сеть ловушек MadPot , а затем получила редкую удачу для расследования: один из серверов Interlock оказался настроен с ошибками и раскрыл почти весь рабочий набор группировки. Исследователи увидели многоступенчатую цепочку атаки, скрипты разведки, вредоносные ELF-файлы (Executable and Linkable Format — исполняемые файлы Linux), собственные трояны удалённого доступа на JavaScript и Java, а также резидентный веб-шелл, который работает в памяти и не пишет файлы на диск. Такая связка говорит не о хаотичной криминальной атаке, а о хорошо отлаженной операции с запасными каналами доступа и подготовкой к долгому удержанию внутри сети.
Interlock старалась не только проникнуть в инфраструктуру, но и запутать расследование. По данным Amazon, злоумышленники поднимали промежуточные Linux-узлы с HAProxy, чтобы скрыть источник трафика, и обрезали логи каждые пять минут. Главными целями Amazon называет образование, инженерные и строительные компании, промышленность, медицину, а также госсектор. 19 марта 2026 года CISA (Cybersecurity and Infrastructure Security Agency — агентство кибербезопасности и защиты инфраструктуры США) добавило CVE-2026-20131 в каталог KEV (Known Exploited Vulnerabilities — реестр активно эксплуатируемых уязвимостей), а такой шаг обычно означает одно: обновления уже нельзя откладывать даже на несколько дней.
Административная панель Cisco, через которую компании управляют межсетевыми экранами, оказалась удобной точкой входа для вымогателей. Amazon Threat Intelligence сообщила , что группировка Interlock эксплуатировала критическую уязвимость CVE-2026-20131 в Cisco Secure Firewall Management Center как минимум с 26 января 2026 года, а Cisco раскрыла проблему только 4 марта. Защитники получили тревожный пример настоящей уязвимости нулевого дня (zero-day): злоумышленники уже работают по цели, а исправления и публичного предупреждения ещё нет.
CVE-2026-20131 получила максимальную оценку по шкале CVSS (Common Vulnerability Scoring System — общепринятая система оценки уязвимостей) — 10,0. Уязвимость находится в веб-интерфейсе FMC (Firewall Management Center — центр управления межсетевыми экранами) и связана с небезопасной десериализацией пользовательского Java-потока. Cisco и NVD (National Vulnerability Database — национальная база данных уязвимостей) описывают сценарий так: внешний атакующий без авторизации может отправить специально подготовленный сериализованный объект, выполнить произвольный Java-код на устройстве и получить права root. Если интерфейс управления не выставлен в интернет, площадь атаки становится меньше, но проблема не исчезает.
Amazon вышла на кампанию через сеть ловушек MadPot , а затем получила редкую удачу для расследования: один из серверов Interlock оказался настроен с ошибками и раскрыл почти весь рабочий набор группировки. Исследователи увидели многоступенчатую цепочку атаки, скрипты разведки, вредоносные ELF-файлы (Executable and Linkable Format — исполняемые файлы Linux), собственные трояны удалённого доступа на JavaScript и Java, а также резидентный веб-шелл, который работает в памяти и не пишет файлы на диск. Такая связка говорит не о хаотичной криминальной атаке, а о хорошо отлаженной операции с запасными каналами доступа и подготовкой к долгому удержанию внутри сети.
Interlock старалась не только проникнуть в инфраструктуру, но и запутать расследование. По данным Amazon, злоумышленники поднимали промежуточные Linux-узлы с HAProxy, чтобы скрыть источник трафика, и обрезали логи каждые пять минут. Главными целями Amazon называет образование, инженерные и строительные компании, промышленность, медицину, а также госсектор. 19 марта 2026 года CISA (Cybersecurity and Infrastructure Security Agency — агентство кибербезопасности и защиты инфраструктуры США) добавило CVE-2026-20131 в каталог KEV (Known Exploited Vulnerabilities — реестр активно эксплуатируемых уязвимостей), а такой шаг обычно означает одно: обновления уже нельзя откладывать даже на несколько дней.