### Zero-Day-Ausnutzung einer Cisco-Schwachstelle **Amazon** Threat Intelligence schlägt Alarm wegen einer aktiven **Interlock**-Ransomware-Kampagne, die **CVE-2026-20131** ausnutzt, eine kritische Sicherheitslücke (CVSS-Score: 10.0) in der **Cisco** Secure Firewall Management Center (FMC) Software. Diese Schwachstelle betrifft die unsichere Deserialisierung von vom Benutzer bereitgestellten Java-Byte-Streams und kann einem nicht authentifizierten, entfernten Angreifer ermöglichen, die Authentifizierung zu umgehen und beliebigen Java-Code als Root auf betroffenen Geräten auszuführen. Laut Daten aus Amazons MadPot-globalem Sensornetzwerk wurde die Lücke ab dem 26. Januar 2026 als Zero-Day ausgenutzt – über einen Monat vor Ciscos öffentlicher Offenlegung. „Dies war nicht nur ein weiterer Schwachstellen-Exploit; **Interlock** hatte einen Zero-Day in den Händen, was ihnen eine Woche Vorsprung verschaffte, um Organisationen zu kompromittieren, bevor die Verteidiger überhaupt wussten, wonach sie suchen sollten. Nach dieser Entdeckung teilten wir unsere Erkenntnisse mit **Cisco**, um deren Untersuchung zu unterstützen und Kunden zu schützen“, sagte **CJ Moses**, Chief Information Security Officer (CISO) von **Amazon** Integrated Security. ### Operational Security Blunder legt Interlocks Toolkit offen Die Entdeckung von **Amazon** wurde durch einen Fehler in der operativen Sicherheit der Bedrohungsakteure erleichtert. Ein fehlkonfigurierter Infrastrukturserver legte das operative Toolkit der Cybercrime-Gruppe offen und lieferte Einblicke in ihre mehrstufige Angriffskette, benutzerdefinierte Remote-Access-Trojaner, Aufklärungs-Skripte und Umgehungstechniken. ### Angriffskette und identifizierte Tools Die Angriffskette umfasst das Senden von präparierten HTTP-Anfragen, um beliebigen Java-Code auszuführen. Ein kompromittiertes System sendet dann eine HTTP PUT-Anfrage an einen externen Server, um die erfolgreiche Ausnutzung zu bestätigen. Anschließend werden Befehle gesendet, um ein ELF-Binary abzurufen, das andere **Interlock**-bezogene Tools hostet. Die identifizierten Tools umfassen: * Ein PowerShell-Aufklärungs-Skript zur umfassenden Enumeration der Windows-Umgebung. * Benutzerdefinierte Remote-Access-Trojaner, geschrieben in JavaScript und Java, die Command-and-Control, interaktiven Shell-Zugriff, Befehlsausführung, Dateiübertragung und SOCKS5-Proxy-Funktionalität bieten. Sie verfügen auch über Mechanismen zur Selbstaktualisierung und Selbstlöschung. * Ein Bash-Skript, das Linux-Server als HTTP-Reverse-Proxys konfiguriert, **fail2ban** liefert und **HAProxy** verwendet, um die Herkunft des Angreifers zu verschleiern. Es enthält auch eine Routine zur Protokollbereinigung. * Eine speicherresidente Web-Shell zur Inspektion eingehender Anfragen auf verschlüsselte Befehls-Payloads. * Ein leichtgewichtiger Netzwerk-Beacon zur Validierung der Codeausführung oder der Erreichbarkeit von Netzwerkports. * **ConnectWise ScreenConnect** für persistenten Remote-Zugriff. * **Volatility Framework**, ein Open-Source-Framework für Speicherforensik.  Die Verbindungen zu **Interlock** basieren auf technischen und operativen Indikatoren, einschließlich der Lösegeldforderung und des TOR-Verhandlungsportals. Der Bedrohungsakteur ist wahrscheinlich während der UTC+3-Zeitzone aktiv. ### Empfehlungen Angesichts der aktiven Ausnutzung werden Benutzer dringend aufgefordert, Patches sofort anzuwenden, Sicherheitsbewertungen durchzuführen, **ScreenConnect**-Bereitstellungen zu überprüfen und Defense-in-Depth-Strategien zu implementieren. „Die eigentliche Geschichte hier handelt nicht nur von einer Schwachstelle oder einer Ransomware-Gruppe – es geht um die grundlegende Herausforderung, die Zero-Day-Exploits für jedes Sicherheitsmodell darstellen“, erklärte **Moses**. „Wenn Angreifer Schwachstellen ausnutzen, bevor Patches existieren, können selbst die sorgfältigsten Patch-Programme Sie in diesem kritischen Zeitfenster nicht schützen.“ Er betonte: „Genau deshalb ist Defense-in-Depth unerlässlich – geschichtete Sicherheitskontrollen bieten Schutz, wenn eine einzelne Kontrolle versagt oder noch nicht implementiert wurde. Schnelles Patchen bleibt grundlegend für das Schwachstellenmanagement, aber Defense-in-Depth hilft Organisationen, nicht schutzlos in dem Zeitfenster zwischen Exploit und Patch zu sein.“ ### Sich entwickelnde Ransomware-Taktiken Die Offenlegung fällt mit den Erkenntnissen von **Google** zusammen, dass Ransomware-Akteure ihre Taktiken aufgrund sinkender Zahlungssätze anpassen. Dazu gehört die Ausnutzung von Schwachstellen in gängigen VPNs und Firewalls sowie eine stärkere Abhängigkeit von integrierten Windows-Funktionen. Mehrere Bedrohungscluster nutzen auch Malvertising und SEO-Taktiken zur Verbreitung von Malware. Weitere gängige Techniken sind kompromittierte Anmeldeinformationen, Backdoors und legitime Remote-Desktop-Software für den initialen Zugriff, zusammen mit der Verwendung integrierter Tools für Aufklärung, Privilegienerweiterung und laterale Bewegung. **Google** erwartet, dass Ransomware eine dominante Bedrohung bleiben wird, aber reduzierte Gewinne könnten dazu führen, dass Akteure andere Monetarisierungsmethoden erkunden, wie z. B. erhöhte Erpressung durch Datendiebstahl oder die Nutzung kompromittierter Infrastruktur für Phishing. ### Cisco aktualisiert Beratung **Cisco** hat seine Beratung für **CVE-2026-20131** aktualisiert, um die aktive Ausnutzung zu bestätigen und empfiehlt dringend ein Upgrade auf eine behobene Softwareversion.