En bref

  • Le ransomware Interlock exploite la faille CVE-2026-20131 (CVSS 10.0) dans Cisco Secure Firewall Management Center depuis janvier 2026.
  • Tous les systèmes Cisco FMC non patchés sont vulnérables à une exécution de code arbitraire en tant que root, sans authentification.
  • Cisco a publié un correctif le 4 mars 2026 — CISA a ajouté la CVE au catalogue KEV le 19 mars.

Les faits

Amazon Threat Intelligence a révélé fin mars 2026 qu une campagne active du groupe Interlock exploite la vulnérabilité CVE-2026-20131, une faille de désérialisation Java non sécurisée dans Cisco Secure Firewall Management Center. Cette vulnérabilité, notée CVSS 10.0, permet à un attaquant distant non authentifié de contourner l authentification et d exécuter du code Java arbitraire avec les privilèges root. Selon BleepingComputer, l exploitation a débuté dès le 26 janvier 2026, soit plus d un mois avant la publication du correctif par Cisco le 4 mars.

La chaîne d attaque repose sur l envoi de requêtes HTTP spécialement conçues vers un endpoint spécifique du logiciel FMC. Une fois le système compromis, il émet une requête HTTP PUT vers un serveur externe pour confirmer l exploitation réussie, puis télécharge un binaire ELF servant de point d entrée pour les outils d Interlock. Le groupe, actif depuis septembre 2024, a revendiqué des attaques contre DaVita, Kettering Health, le Texas Tech University System et la ville de Saint Paul dans le Minnesota.

Impact et exposition

Toute organisation utilisant Cisco Secure Firewall Management Center en version non patchée est exposée. La criticité maximale (CVSS 10.0) s explique par l absence totale d authentification requise et l obtention de privilèges root. Les secteurs les plus visés par Interlock incluent la santé, l éducation et les collectivités locales. La CISA a ajouté CVE-2026-20131 à son catalogue KEV le 19 mars 2026 avec une échéance de remédiation fixée au 22 mars pour les agences fédérales américaines. Le fait que l exploitation ait précédé la divulgation publique d un mois aggrave considérablement le risque de compromission silencieuse.

Recommandations

  • Appliquer immédiatement le correctif Cisco publié le 4 mars 2026 sur toutes les instances FMC.
  • Rechercher des indicateurs de compromission : requêtes HTTP PUT sortantes suspectes, binaires ELF inconnus, connexions vers des C2 Interlock.
  • Segmenter le réseau pour isoler les consoles de management FMC du trafic Internet direct.
  • Auditer les logs réseau depuis le 26 janvier 2026 pour détecter une éventuelle exploitation antérieure au patch.

Alerte critique

CVE-2026-20131 est exploitée activement comme zero-day depuis janvier 2026. Si votre Cisco FMC n est pas patché, considérez votre infrastructure comme potentiellement compromise et lancez une investigation forensique immédiatement.

Comment vérifier si mon Cisco FMC est vulnérable à CVE-2026-20131 ?

Connectez-vous à l interface d administration de votre FMC et vérifiez la version du logiciel dans System > About. Toute version antérieure au correctif du 4 mars 2026 est vulnérable. Cisco a publié un advisory détaillant les versions affectées et les correctifs disponibles. En complément, recherchez dans vos logs réseau des requêtes HTTP anormales ciblant les endpoints de désérialisation Java du FMC.

Quels sont les indicateurs de compromission liés à Interlock ?

Les principaux IOC incluent des requêtes HTTP PUT vers des serveurs externes immédiatement après l exploitation, le téléchargement de binaires ELF depuis des domaines contrôlés par Interlock, et l utilisation de l outil NodeSnake comme RAT. Surveillez également les connexions sortantes inhabituelles depuis vos appliances FMC et tout processus root non légitime.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu elles ne soient exploitées.

Demander un audit