Le ransomware Interlock exploite CVE-2026-20131 (CVSS 10.0) dans Cisco FMC comme zero-day depuis janvier 2026. Correctif disponible, patching urgent requis.
Le groupe ransomware Interlock exploite activement la faille CVE-2026-20131 dans Cisco Firepower Management Center depuis le 26 janvier 2026 — soit plus d'un mois avant la publication du correctif par Cisco le 4 mars. Cette vulnérabilité de désérialisation Java non authentifiée, notée CVSS 10.0, permet l'exécution de code arbitraire en tant que root sur les appliances FMC. Interlock s'en sert comme point d'entrée initial pour déployer son ransomware sur les réseaux d'entreprise, ciblant en priorité les secteurs de la santé, de l'éducation et des collectivités locales aux États-Unis. La CISA a ajouté cette CVE à son catalogue KEV le 19 mars, imposant un correctif aux agences fédérales avant le 22 mars. Pour les organisations qui n'ont pas encore patché, le risque de compromission est maximal.
En bref
- CVE-2026-20131 (CVSS 10.0) : désérialisation Java non authentifiée dans Cisco Firepower Management Center permettant une RCE root
- Exploitée comme zero-day par le ransomware Interlock depuis le 26 janvier 2026, un mois avant le patch Cisco du 4 mars
- Action requise : appliquer immédiatement la mise à jour Cisco FMC et auditer les traces de compromission
Les faits
La vulnérabilité CVE-2026-20131 réside dans le mécanisme de désérialisation des flux Java côté serveur de Cisco Firepower Management Center. Un attaquant non authentifié peut envoyer un objet Java sérialisé malveillant pour contourner l'authentification et exécuter du code arbitraire avec les privilèges root. Aucune interaction utilisateur n'est nécessaire, ce qui explique le score CVSS maximal de 10.0 attribué par Cisco. Selon les chercheurs en sécurité, le groupe Interlock a commencé à exploiter cette faille dès le 26 janvier 2026, comme le confirment les journaux d'incidents analysés par plusieurs équipes de réponse. Cisco n'a publié son correctif que le 4 mars, laissant une fenêtre d'exploitation de plus de cinq semaines.
Interlock, actif depuis septembre 2024, s'est fait connaître par des attaques contre DaVita, Kettering Health, le Texas Tech University System et la ville de Saint Paul dans le Minnesota. Le groupe utilise également des techniques ClickFix et déploie le RAT NodeSnake sur les réseaux de ses victimes. Comme l'illustre l'exploitation du zero-day Cisco SD-WAN pendant trois ans, les équipements réseau Cisco restent des cibles privilégiées pour les groupes ransomware cherchant un accès initial persistant.
Impact et exposition
Toute organisation utilisant Cisco Firepower Management Center en version non patchée est potentiellement exposée. La faille étant exploitable à distance sans authentification, la surface d'attaque est considérable. Les secteurs les plus touchés par Interlock sont la santé, l'éducation et les administrations publiques — des environnements où les cycles de mise à jour sont souvent longs. Une compromission du FMC donne à l'attaquant le contrôle total de l'infrastructure de sécurité réseau : règles de pare-feu, inspection de trafic, et visibilité sur l'ensemble du réseau. C'est un scénario comparable à la faille critique CVSS 9.8 dans Cisco IMC, mais avec un impact encore plus dévastateur car le FMC centralise la gestion de tous les pare-feu Firepower.
Recommandations
- Appliquer immédiatement le correctif Cisco FMC — toute version antérieure au patch du 4 mars est vulnérable
- Auditer les journaux d'accès FMC depuis janvier 2026 : rechercher des connexions HTTP/HTTPS suspectes vers les endpoints de désérialisation
- Isoler le FMC du réseau public si le patch ne peut pas être appliqué dans l'immédiat — limiter l'accès à un VLAN de gestion dédié
- Rechercher les indicateurs de compromission Interlock : présence de NodeSnake, connexions C2, chiffrement de fichiers
Alerte critique
CVE-2026-20131 est activement exploitée depuis plus de deux mois. Si votre Cisco FMC est exposé à Internet sans le correctif du 4 mars 2026, considérez votre infrastructure comme potentiellement compromise et lancez une investigation forensique immédiate.
Comment vérifier si mon Cisco FMC est vulnérable à CVE-2026-20131 ?
Connectez-vous à l'interface d'administration du FMC et vérifiez la version du logiciel dans System > About. Toute version antérieure au correctif publié le 4 mars 2026 est vulnérable. Consultez l'avis de sécurité Cisco SA-20260304-fmc-deser pour les numéros de version exacts. En complément, auditez les logs d'accès HTTP du FMC depuis janvier 2026 pour détecter d'éventuelles tentatives d'exploitation. La mise en place d'un programme de gestion des vulnérabilités structuré est indispensable pour éviter ce type de situation.
Pourquoi les zero-days sur les équipements réseau sont-ils si dangereux ?
Les appliances de sécurité réseau comme le FMC sont des cibles de choix car elles offrent un accès privilégié à l'ensemble de l'infrastructure. Un attaquant qui compromet le FMC peut désactiver les règles de pare-feu, créer des tunnels persistants et se déplacer latéralement sans être détecté. Comme nous l'avons vu avec la réduction du délai d'exploitation des vulnérabilités, le temps entre la découverte d'une faille et son exploitation massive se réduit drastiquement, rendant le patching réactif insuffisant.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-20184 : faille critique SSO Cisco Webex corrigée
CVE-2026-20184 (CVSS 9.8) : faille critique SSO Cisco Webex permettant d'usurper n'importe quel utilisateur. Action requise pour les clients en SSO.
PHANTOMPULSE : Obsidian détourné contre finance et crypto
Elastic Security Labs dévoile la campagne REF6598 qui détourne Obsidian pour déployer le RAT PHANTOMPULSE chez les professionnels finance et crypto.
Claude Opus 4.7 : Anthropic officialise son modèle phare
Anthropic officialise Claude Opus 4.7 ce 16 avril 2026. Résolution visuelle triplée, mode xhigh et task budgets agentiques : ce que la mise à jour change.
Commentaires (1)
Laisser un commentaire