Cisco FMC CVE-2026-20131 : Interlock RCE Root Actif

Le 26 janvier 2026, des attaquants liés au groupe Interlock ransomware exploitaient déjà CVE-2026-20131 dans Cisco Secure Firewall Management Center — plus d'un mois avant que Cisco ne publie son advisory de sécurité. Cette vulnérabilité critique notée CVSS 10.0 permet à n'importe quel attaquant non authentifié d'exécuter du code arbitraire avec des privilèges root sur les systèmes FMC, ouvrant la voie à une compromission totale de l'infrastructure réseau. La CISA a immédiatement ajouté cette faille à son catalogue Known Exploited Vulnerabilities (KEV) et imposé une deadline au 22 mars 2026 pour les agences fédérales américaines. Si vous utilisez Cisco Secure Firewall Management Center dans votre infrastructure, vous êtes potentiellement exposé depuis le début de l'année 2026. Cette faille s'inscrit dans une tendance lourde de vulnérabilités critiques sur les équipements périmètriques qui confirme que les appliances réseau restent la cible prioritaire des groupes de ransomware les plus sophistiqués en 2026. Face à l'augmentation des attaques sur les pare-feux d'entreprise, il est essentiel de maintenir une posture de sécurité Active Directory robuste en complément du patch périmètrique.

Les faits

CVE-2026-20131 est une vulnérabilité de type Remote Code Execution (RCE) affectant Cisco Secure Firewall Management Center, la plateforme centralisée de gestion des pare-feux Cisco. La faille réside dans le traitement des requêtes HTTP non authentifiées par l'interface d'administration web de FMC. Un attaquant peut envoyer une requête spécialement forgée pour provoquer l'exécution de code arbitraire avec les privilèges root, sans nécessiter d'identifiants valides. Cisco a publié son advisory le 19 mars 2026, mais des données forensics collectées lors d'incidents chez plusieurs organisations révèlent que le groupe Interlock exploitait déjà activement cette faille depuis le 26 janvier 2026 — soit 52 jours d'exploitation zero-day avant divulgation. Selon les chercheurs de Recorded Future et les rapports d'incidents analysés, Interlock a utilisé cette porte d'entrée pour déployer son ransomware dans au moins cinq organisations en Amérique du Nord et en Europe, dont deux établissements de santé.

Le groupe Interlock, actif depuis fin 2024, se distingue par une approche méthodique : infiltration via des vulnérabilités périmètriques, reconnaissance interne prolongée (parfois plusieurs semaines), exfiltration massive de données avant chiffrement, puis double extorsion. Cette tactique, combinée à l'exploitation d'un zero-day CVSS 10.0, illustre le niveau de ressources techniques dont disposent les groupes de ransomware modernes. La CISA a documenté cette exploitation dans son catalogue KEV et la recommandation de patch s'applique désormais à toute organisation utilisant FMC, pas uniquement aux entités gouvernementales américaines. Consultez également l'advisory officiel Cisco Security pour les versions affectées et les correctifs disponibles.

Impact et exposition

Cisco Secure Firewall Management Center est déployé dans des milliers d'organisations à travers le monde pour administrer des centaines ou milliers de pare-feux Cisco. L'exposition est particulièrement critique lorsque l'interface web de FMC est accessible depuis internet ou depuis un réseau non cloisonné. Les secteurs les plus exposés sont l'énergie, la santé, la finance et les opérateurs d'importance vitale (OIV) qui utilisent massivement les appliances Cisco. Une compromission de FMC donne à l'attaquant un contrôle total sur l'ensemble des règles de filtrage réseau — permettant d'ouvrir des tunnels, de modifier des politiques de sécurité et d'établir une persistance discrète. Pour aller plus loin sur la sécurisation de votre infrastructure périmètrique, consultez notre guide complet de pentest Active Directory et notre analyse sur la sécurité des pipelines CI/CD. Pour comprendre le modèle de privilèges à respecter, notre guide du Tiering Model Active Directory vous donnera les bases de cloisonnement nécessaires.

Recommandations

• Appliquer immédiatement le patch Cisco pour CVE-2026-20131 (advisory Cisco mars 2026)
• Auditer les logs FMC depuis le 1er janvier 2026 — rechercher des requêtes HTTP anormales sur l'interface d'administration
• Isoler l'interface FMC : couper tout accès depuis internet, restreindre aux IPs d'administration légitimes uniquement
• Vérifier l'intégrité des règles de filtrage réseau et des configurations pare-feu pour détecter toute modification non autorisée
• Activer la MFA sur tous les accès à FMC dès que le patch est appliqué

Contexte : qui est le groupe Interlock et pourquoi cibler les pare-feux

Le groupe Interlock est un acteur de ransomware apparu fin 2024, qui se distingue par une préférence marquée pour les vulnérabilités sur les équipements réseau périmètriques. Contrairement aux groupes qui achètent des accès initiaux sur des marchés cybercriminels, Interlock investit dans la recherche de failles 0-day sur des produits largement déployés en entreprise — Cisco, Palo Alto, Fortinet. Cette stratégie leur permet de cibler des organisations dotées de budgets sécurité conséquents, qui pensent être protégées par leurs équipements de pointe. La compromission du FMC est particulièrement stratégique : en prenant le contrôle du système de gestion centralisée des pare-feux, l'attaquant peut reconfigurer silencieusement des règles de filtrage pour s'ouvrir des tunnels persistants vers l'intérieur du réseau, sans déclencher d'alarme. Pour comprendre les méthodes de mouvement latéral qui suivent l'accès initial, consultez notre guide de durcissement des infrastructures virtualisées et notre analyse des meilleures pratiques de sécurité d'entreprise en 2026.