Krytyczna podatność w rozwiązaniach Cisco była wykorzystywana przez ponad miesiąc przed jej ujawnieniem. Luka umożliwia pełne przejęcie systemów zarządzania zaporami i stanowi poważne zagrożenie dla infrastruktury sieciowej.
Badacze z Amazon Threat Intelligence ujawnili, że grupa ransomware Interlock wykorzystywała krytyczną podatność typu zero-day w rozwiązaniach Cisco przez ponad miesiąc przed jej publicznym ujawnieniem.
Luka oznaczona jako CVE-2026-20131 (CVSS 10,0) dotyczy oprogramowania Cisco Secure Firewall Management Center i była aktywnie wykorzystywana od 26 stycznia 2026 r., podczas gdy jej szczegóły opublikowano dopiero 4 marca.
Zdalne wykonanie kodu z uprawnieniami root
Podatność umożliwia atakującym zdalne uruchamianie dowolnego kodu Java z uprawnieniami roota na podatnych urządzeniach.
W praktyce oznacza to, że cyberprzestępcy mogą:
- uzyskać pełną kontrolę nad systemem zarządzania zaporą,
- przejąć dostęp do infrastruktury sieciowej,
- wykorzystać urządzenie jako punkt wejścia do dalszych ataków.
Grupa Interlock wykorzystywała tę lukę do uzyskania uprzywilejowanego dostępu do zapór sieciowych w środowiskach przedsiębiorstw.
Wgląd w narzędzia atakujących dzięki błędom konfiguracji
Podczas analizy podatności badacze zaobserwowali aktywność atakujących w przygotowanych przez siebie środowiskach honeypot (MadPot), co umożliwiło dokładne śledzenie ich działań. Kluczowym elementem było odkrycie, że infrastruktura grupy Interlock była częściowo błędnie skonfigurowana, co w efekcie pozwoliło uzyskać dostęp do szerokiego zestawu narzędzi wykorzystywanych w kampanii. Zebrane materiały obejmowały m.in. niestandardowe trojany zdalnego dostępu (RAT), skrypty wykorzystywane do rozpoznania środowiska, webshelle działające w pamięci, serwery proxy oraz wykorzystanie legalnych narzędzi, takich jak ScreenConnect czy Volatility Framework.
Badacze opublikowali również zestaw IOC (wskaźników kompromitacji) związanych z infrastrukturą atakujących. Organizacje korzystające z rozwiązań Cisco powinny uwzględnić je w swoich działaniach typu threat hunting.
Rekomendacje dla administratorów
W związku z aktywnym wykorzystaniem podatności zaleca się:
- niezwłoczną aktualizację systemów do wersji zawierających poprawkę,
- analizę logów pod kątem nietypowej aktywności,
- wykorzystanie dostępnych IOC do weryfikacji środowiska,
- przegląd dostępu do systemów zarządzania zaporami.
CVE-2026-20131 to przykład podatności zero-day, która była aktywnie wykorzystywana przez dłuższy czas przed jej ujawnieniem.
W środowiskach, gdzie zapory sieciowe stanowią kluczowy element bezpieczeństwa, kompromitacja systemu zarządzania może prowadzić do pełnej utraty kontroli nad ruchem sieciowym, dlatego szybka reakcja i aktualizacja są kluczowe.
Źródła:
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
