En bref

  • CVE-2026-20131, CVSS 10.0 : exécution de code root sans authentification dans Cisco Secure Firewall Management Center (FMC)
  • Toutes versions de Cisco FMC non patchées — correctif publié le 18 mars 2026 par Cisco PSIRT
  • Exploitée activement par le ransomware Interlock depuis le 26 janvier 2026, soit 53 jours avant la divulgation

Une vulnérabilité de désérialisation critique, référencée CVE-2026-20131 et cotée au score CVSS maximal de 10.0, affecte Cisco Secure Firewall Management Center (FMC), la console d'administration centrale qui orchestre l'ensemble des pare-feux Cisco d'une organisation. Cette faille, exploitée activement en production depuis le 26 janvier 2026, permet à un attaquant distant non authentifié d'exécuter du code arbitraire avec les privilèges root sur n'importe quel serveur FMC accessible. Le groupe cybercriminel Interlock ransomware a tiré profit de cette vulnérabilité pendant plus de 53 jours consécutifs avant que Cisco ne publie son advisory officiel le 18 mars 2026, illustrant le risque réel des failles exploitées en silence. L'attaque repose sur des requêtes HTTP forgées vers un endpoint FMC vulnérable : un flux Java est désérialisé sans aucun contrôle d'intégrité, ce qui permet le dépôt d'un binaire ELF puis l'installation de RATs personnalisés et de ConnectWise ScreenConnect pour assurer une persistance discrète sur le réseau cible. Les chercheurs d'Amazon MadPot ont identifié le groupe grâce à une infrastructure mal configurée qui exposait leurs propres outils, permettant de les situer en fuseau horaire UTC+3. L'ampleur de l'exposition est considérable : une console FMC compromise donne accès à l'ensemble du parc de pare-feux géré, souvent des dizaines voire des centaines d'équipements en production.

Les faits

Cisco a publié son advisory de sécurité le 18 mars 2026, révélant que CVE-2026-20131 exploite une désérialisation non sécurisée de flux Java dans Cisco Secure Firewall Management Center. Le score CVSS 10.0 résulte de trois facteurs : absence totale d'authentification préalable, exécution arbitraire en contexte root, et accessibilité réseau sans interaction utilisateur. Cette catégorie Pre-Auth RCE est la plus critique qui existe en matière de vulnérabilités réseau. Le groupe Interlock a déployé ConnectWise ScreenConnect pour maintenir un accès persistant, puis conduit une reconnaissance interne avant le chiffrement des données. Les IOC associés permettent une intégration dans les SIEM pour une détection rétroactive depuis janvier 2026. L'advisory complet est disponible sur le portail Cisco PSIRT.

Impact et exposition

Cisco Secure FMC est déployé dans les grandes entreprises, les opérateurs d'importance vitale, les administrations et les MSP. Toute console FMC exposée sur Internet ou accessible depuis un réseau compromis est vulnérable sans patch. La compromission d'une console FMC donne accès à l'ensemble du parc de pare-feux géré : modification de règles, création de tunnels, exfiltration de configurations réseau. Dans une architecture Zero Trust, ce type de console doit être accessible uniquement via des solutions de gestion des accès à privilèges (PAM) avec authentification forte. Cet incident illustre l'importance d'un programme de triage des vulnérabilités capable de prioriser les patchs critiques avant toute exploitation. Les organisations exposées à des compromissions récentes comme le vol de données TELUS par ShinyHunters doivent redoubler de vigilance sur leurs consoles d'administration réseau.

Recommandations

  • Appliquer le patch Cisco FMC immédiatement — disponible depuis le 18 mars 2026
  • Isoler les consoles FMC d'Internet — aucune console d'administration réseau ne doit y être exposée directement
  • Auditer toutes les installations ConnectWise ScreenConnect pour détecter des déploiements non autorisés
  • Analyser les logs FMC depuis le 26 janvier 2026 avec les IOC Cisco pour détecter une compromission antérieure
  • Renouveler tous les secrets et credentials gérés via FMC si une compromission est suspectée

Alerte critique — CVSS 10.0 / Exploitation active depuis 53 jours

Le ransomware Interlock exploite CVE-2026-20131 depuis le 26 janvier 2026. Toute console Cisco FMC non patchée doit être considérée comme potentiellement compromise. Ne patcher pas sans avoir d'abord audité vos logs depuis janvier 2026 : appliquer le patch après une compromission ne suffit pas à expulser l'attaquant déjà présent dans votre réseau.

Comment savoir si mon Cisco FMC a été compromis via CVE-2026-20131 ?

Recherchez dans vos logs FMC des requêtes HTTP anormales vers des endpoints inhabituels entre le 26 janvier et le 18 mars 2026. Vérifiez la présence de binaires ELF inconnus, de processus ConnectWise ScreenConnect non autorisés, et de connexions sortantes vers des IP inconnues. Les Indicators of Compromise (IOC) publiés par Cisco PSIRT et Amazon MadPot peuvent être intégrés dans votre SIEM pour une analyse rétroactive. Consultez également le catalogue KEV de la CISA. En cas de doute, une investigation forensique spécialisée est recommandée avant de restaurer la confiance dans votre infrastructure réseau.

Points clés à retenir

  • CVE-2026-20131 : Pre-Auth RCE CVSS 10.0 dans Cisco FMC, exploitée 53 jours avant divulgation publique
  • Le ransomware Interlock : chaîne d'attaque FMC → binaire ELF → ScreenConnect → ransomware
  • Patch disponible depuis le 18 mars 2026 — auditer les logs avant de patcher
  • Les consoles d'administration réseau ne doivent jamais être exposées directement sur Internet

Comment savoir si mon système est vulnérable à CVE-2026-20131 ?

Pour déterminer votre exposition, inventoriez toutes les instances de Cisco Firepower Management Center dans votre environnement, y compris les versions utilisées. Comparez-les aux versions affectées dans l'avis officiel du fournisseur. Les outils de vulnerability scanning comme Tenable Nessus, Qualys ou OpenVAS proposent généralement des plugins de détection dans les 24-48h suivant la publication d'un CVE critique. Un scan ciblé sur le port et le service concerné permet de confirmer l'exposition.

Que faire si le patch ne peut pas être appliqué immédiatement ?

En cas d'impossibilité de patcher rapidement, plusieurs mesures de mitigation permettent de réduire le risque : isoler les systèmes vulnérables derrière un pare-feu applicatif (WAF), restreindre les accès réseau au strict nécessaire, désactiver les fonctionnalités exposées si possible, et renforcer la surveillance des logs pour détecter toute tentative d'exploitation. Un plan de patch d'urgence doit être déclenché dans les 72h suivant la confirmation de l'exploitation active.

Est-ce que CVE-2026-20131 est activement exploitée dans des attaques réelles ?

Oui — les preuves d'exploitation active ont été confirmées. Des groupes de ransomware et d'APT ont intégré ce vecteur dans leurs chaînes d'attaque. L'exploitation active signifie que le risque n'est plus théorique : toute organisation exposée doit traiter ce correctif comme une priorité absolue indépendamment de ses cycles de maintenance habituels. Consulter le catalogue CISA KEV pour suivre l'état d'exploitation confirmée.

Ressources complémentaires sur la gestion des vulnérabilités

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit