### Exploitation d'une faille zero-day Cisco **Amazon** Threat Intelligence tire la sonnette d'alarme sur une campagne active de ransomware **Interlock** exploitant **CVE-2026-20131**, une faille de sécurité critique (score CVSS : 10.0) dans le logiciel **Cisco** Secure Firewall Management Center (FMC). Cette vulnérabilité implique une désérialisation non sécurisée de flux d'octets Java fournis par l'utilisateur, permettant potentiellement à un attaquant distant non authentifié de contourner l'authentification et d'exécuter du code Java arbitraire en tant que root sur les appareils affectés. Selon les données du réseau de capteurs mondiaux MadPot d'**Amazon**, la faille a été exploitée en tant que zero-day à partir du 26 janvier 2026 – plus d'un mois avant la divulgation publique par **Cisco**. « Il ne s'agissait pas d'une simple exploitation de vulnérabilité ; **Interlock** avait un zero-day entre les mains, leur donnant une avance d'une semaine pour compromettre des organisations avant même que les défenseurs ne sachent quoi chercher. Après avoir fait cette découverte, nous avons partagé nos conclusions avec **Cisco** pour soutenir leur enquête et protéger les clients », a déclaré **CJ Moses**, responsable de la sécurité de l'information (CISO) d'**Amazon** Integrated Security. ### Une erreur de sécurité opérationnelle expose la boîte à outils d'Interlock La découverte d'**Amazon** a été facilitée par une erreur de sécurité opérationnelle commise par les acteurs de la menace. Un serveur d'infrastructure mal configuré a exposé la boîte à outils opérationnelle de leur groupe de cybercriminalité, révélant des informations sur leur chaîne d'attaque multi-étapes, leurs chevaux de Troie d'accès à distance personnalisés, leurs scripts de reconnaissance et leurs techniques d'évasion. ### Chaîne d'attaque et outils identifiés La chaîne d'attaque implique l'envoi de requêtes HTTP spécialement conçues pour exécuter du code Java arbitraire. Un système compromis émet ensuite une requête HTTP PUT vers un serveur externe pour confirmer l'exploitation réussie. Par la suite, des commandes sont envoyées pour récupérer un binaire ELF hébergeant d'autres outils liés à **Interlock**. Les outils identifiés comprennent : * Un script de reconnaissance PowerShell pour une énumération complète de l'environnement Windows. * Des chevaux de Troie d'accès à distance personnalisés écrits en JavaScript et Java, offrant des fonctionnalités de commande et de contrôle, d'accès shell interactif, d'exécution de commandes, de transfert de fichiers et de proxy SOCKS5. Ils disposent également de mécanismes d'auto-mise à jour et d'auto-suppression. * Un script Bash configurant des serveurs Linux en tant que proxys inverses HTTP, distribuant **fail2ban** et utilisant **HAProxy** pour masquer l'origine de l'attaquant. Il comprend également une routine d'effacement des journaux. * Un shell web résidant en mémoire pour inspecter les requêtes entrantes de charges utiles de commandes chiffrées. * Une balise réseau légère pour valider l'exécution du code ou la joignabilité des ports réseau. * **ConnectWise ScreenConnect** pour un accès à distance persistant. * **Volatility Framework**, un framework open-source d'analyse forensique de mémoire.  Les liens avec **Interlock** sont basés sur des indicateurs techniques et opérationnels, y compris la note de rançon et le portail de négociation TOR. L'acteur de la menace est probablement opérationnel pendant le fuseau horaire UTC+3. ### Recommandations Compte tenu de l'exploitation active, les utilisateurs sont invités à appliquer immédiatement les correctifs, à effectuer des évaluations de sécurité, à examiner les déploiements de **ScreenConnect** et à mettre en œuvre des stratégies de défense en profondeur. « La véritable histoire ici ne concerne pas seulement une vulnérabilité ou un groupe de ransomware – il s'agit du défi fondamental que posent les exploits zero-day à chaque modèle de sécurité », a déclaré **Moses**. « Lorsque les attaquants exploitent des vulnérabilités avant l'existence de correctifs, même les programmes de patching les plus diligents ne peuvent pas vous protéger pendant cette fenêtre critique. » Il a souligné : « C'est précisément pourquoi la défense en profondeur est essentielle – des contrôles de sécurité en couches offrent une protection lorsqu'un contrôle unique échoue ou n'a pas encore été déployé. Le patching rapide reste fondamental dans la gestion des vulnérabilités, mais la défense en profondeur aide les organisations à ne pas être sans défense pendant la fenêtre entre l'exploit et le correctif. » ### Évolution des tactiques de ransomware La divulgation coïncide avec les conclusions de **Google** selon lesquelles les acteurs de ransomware adaptent leurs tactiques en raison de la baisse des taux de paiement. Cela inclut le ciblage des vulnérabilités dans les VPN et les pare-feu courants et le recours accru aux capacités intégrées de Windows. Plusieurs clusters de menaces utilisent également la publicité malveillante et les tactiques SEO pour distribuer des malwares. D'autres techniques courantes incluent les identifiants compromis, les backdoors et les logiciels de bureau à distance légitimes pour l'accès initial, ainsi que l'utilisation d'outils intégrés pour la reconnaissance, l'escalade de privilèges et le mouvement latéral. **Google** anticipe que le ransomware restera une menace dominante, mais la réduction des profits pourrait amener les acteurs à explorer d'autres méthodes de monétisation, telles que l'augmentation de l'extorsion par vol de données ou l'utilisation d'infrastructures compromises pour le phishing. ### Cisco met à jour son avis **Cisco** a mis à jour son avis pour **CVE-2026-20131** afin de confirmer l'exploitation active et recommande vivement de passer à une version logicielle corrigée.