### Explotación Zero-Day de Vulnerabilidad de Cisco Amazon Threat Intelligence está dando la voz de alarma sobre una campaña activa de ransomware Interlock que explota **CVE-2026-20131**, una falla de seguridad crítica (puntuación CVSS: 10.0) en el software Cisco Secure Firewall Management Center (FMC). Esta vulnerabilidad implica la deserialización insegura de flujos de bytes Java proporcionados por el usuario, lo que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en los dispositivos afectados. Según datos de la red de sensores global MadPot de Amazon, la falla fue explotada como una vulnerabilidad zero-day a partir del 26 de enero de 2026, más de un mes antes de la divulgación pública de Cisco. "Esto no fue solo otro exploit de vulnerabilidad; Interlock tenía una vulnerabilidad zero-day en sus manos, lo que les dio una ventaja de una semana para comprometer organizaciones antes de que los defensores supieran siquiera qué buscar. Al realizar este descubrimiento, compartimos nuestros hallazgos con Cisco para ayudar a respaldar su investigación y proteger a los clientes", dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security. ### Error de Seguridad Operacional Expone el Kit de Herramientas de Interlock El descubrimiento de Amazon fue ayudado por un error de seguridad operacional por parte de los actores de amenazas. Un servidor de infraestructura mal configurado expuso el kit de herramientas operativas de su grupo de cibercrimen, revelando información sobre su cadena de ataque de múltiples etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y técnicas de evasión. ### Cadena de Ataque y Herramientas Identificadas La cadena de ataque implica el envío de solicitudes HTTP manipuladas para ejecutar código Java arbitrario. Luego, un sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotación exitosa. Posteriormente, se envían comandos para obtener un binario ELF que aloja otras herramientas relacionadas con Interlock. Las herramientas identificadas incluyen: * Un script de reconocimiento de PowerShell para la enumeración exhaustiva del entorno de Windows. * Troyanos de acceso remoto personalizados escritos en JavaScript y Java, que ofrecen capacidades de comando y control, acceso a shell interactivo, ejecución de comandos, transferencia de archivos y proxy SOCKS5. También cuentan con mecanismos de autoactualización y autodestrucción. * Un script Bash que configura servidores Linux como proxies inversos HTTP, entrega fail2ban y utiliza HAProxy para ofuscar los orígenes del atacante. También incluye una rutina de borrado de registros. * Un web shell residente en memoria para inspeccionar las solicitudes entrantes de cargas útiles de comandos cifradas. * Un beacon de red ligero para validar la ejecución de código o la accesibilidad de puertos de red. * ConnectWise ScreenConnect para acceso remoto persistente. * Volatility Framework, un marco de análisis forense de memoria de código abierto.  Los vínculos con Interlock se basan en indicadores técnicos y operativos, incluida la nota de rescate y el portal de negociación de TOR. Es probable que el actor de amenazas esté operativo durante la zona horaria UTC+3. ### Recomendaciones Dada la explotación activa, se insta a los usuarios a aplicar parches de inmediato, realizar evaluaciones de seguridad, revisar las implementaciones de ScreenConnect e implementar estrategias de defensa en profundidad. "La verdadera historia aquí no se trata solo de una vulnerabilidad o un grupo de ransomware, sino del desafío fundamental que las explotaciones zero-day plantean a cada modelo de seguridad", afirmó Moses. "Cuando los atacantes explotan vulnerabilidades antes de que existan los parches, incluso los programas de parcheo más diligentes no pueden protegerlo en esa ventana crítica." Enfatizó: "Esta es precisamente la razón por la que la defensa en profundidad es esencial: los controles de seguridad en capas brindan protección cuando un control individual falla o aún no se ha implementado. El parcheo rápido sigue siendo fundamental en la gestión de vulnerabilidades, pero la defensa en profundidad ayuda a las organizaciones a no quedar indefensas durante la ventana entre la explotación y el parcheo." ### Tácticas de Ransomware en Evolución La divulgación coincide con los hallazgos de Google de que los actores de ransomware están adaptando sus tácticas debido a la disminución de las tasas de pago. Esto incluye atacar vulnerabilidades en VPN y firewalls comunes y depender más de las capacidades integradas de Windows. Múltiples grupos de amenazas también están utilizando malvertising y tácticas de SEO para distribuir malware. Otras técnicas comunes incluyen credenciales comprometidas, backdoors y software de escritorio remoto legítimo para el acceso inicial, junto con el uso de herramientas integradas para reconocimiento, escalada de privilegios y movimiento lateral. Google anticipa que el ransomware seguirá siendo una amenaza dominante, pero la reducción de las ganancias puede llevar a los actores a explorar otros métodos de monetización, como un aumento de la extorsión por robo de datos o el uso de infraestructura comprometida para phishing. ### Cisco Actualiza su Asesoramiento Cisco ha actualizado su asesoramiento para CVE-2026-20131 para confirmar la explotación activa y recomienda encarecidamente la actualización a una versión de software corregida.