概要

Amazon Threat Intelligence は、Interlock ランサムウェアのキャンペーンが、Cisco Secure Firewall Management Center (FMC) ソフトウェアで最近開示された重大なセキュリティ脆弱性を悪用していると警告しています。この脆弱性は CVE-2026-20131 であり、CVSS スコアは 10.0 です。

脆弱性の詳細

CVE-2026-20131 は、ユーザー供給の Java バイトストリームの不適切なデシリアライゼーションを引き起こす脆弱性で、認証なしのリモート攻撃者が影響のあるデバイス上で任意の Java コードを実行できる可能性があります。

悪用状況

Amazon によると、この脆弱性は 1月26日からゼロデイとして悪用されており、Cisco が公に開示するまで約1ヶ月間利用されていたとされています。Interlock ランサムウェアは、この脆弱性を利用して組織を侵害し、防御者が対策を講じる前に約1週間のリードタイムを得ることができました。

攻撃チェーン

攻撃者は、影響のあるソフトウェアに特定のパスへのカスタム HTTP リクエストを送信することで、任意の Java コードを実行します。その後、ハッカーは外部サーバーに対して HTTP PUT リクエストを発行し、成功した攻撃を確認します。

使用されたツール

• Windows 環境の調査に使用される PowerShell 計画スクリプト
• JavaScript と Java で書かれた独自のリモートアクセストロイアン
• Bash スクリプトを使用した Linux サーバーの HTTP リバースプロキシ設定
• メモリ内に存在するウェブシェル
• ネットワークビーコン

対策と防御戦略

Cisco は、この脆弱性を修正するためにパッチの適用を強く推奨しています。また、セキュリティ評価を行い、潜在的な侵害を特定し、ScreenConnect の展開で不正なインストールがないか確認することも重要です。

元記事: https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html