### Exploração Zero-Day de Vulnerabilidade da Cisco **Amazon** Threat Intelligence está soando o alarme sobre uma campanha ativa de ransomware **Interlock** explorando a **CVE-2026-20131**, uma falha de segurança crítica (pontuação CVSS: 10.0) no Software Cisco Secure Firewall Management Center (FMC). Essa vulnerabilidade envolve a desserialização insegura de fluxos de bytes Java fornecidos pelo usuário, permitindo que um atacante remoto não autenticado contorne a autenticação e execute código Java arbitrário como root em dispositivos afetados. De acordo com dados da rede de sensores globais MadPot da **Amazon**, a falha foi explorada como um zero-day a partir de 26 de janeiro de 2026 – mais de um mês antes da divulgação pública da **Cisco**. "Não foi apenas mais um exploit de vulnerabilidade; o **Interlock** tinha um zero-day em mãos, dando-lhes uma vantagem de uma semana para comprometer organizações antes que os defensores soubessem o que procurar. Ao fazer essa descoberta, compartilhamos nossas descobertas com a **Cisco** para ajudar a apoiar a investigação deles e proteger os clientes", disse **CJ Moses**, chief information security officer (CISO) da **Amazon** Integrated Security. ### Falha de Segurança Operacional Expõe o Toolkit do Interlock A descoberta da **Amazon** foi auxiliada por um erro de segurança operacional por parte dos atores de ameaça. Um servidor de infraestrutura mal configurado expôs o toolkit operacional do grupo de cibercrime, revelando insights sobre sua cadeia de ataque multiestágio, trojans de acesso remoto personalizados, scripts de reconhecimento e técnicas de evasão. ### Cadeia de Ataque e Ferramentas Identificadas A cadeia de ataque envolve o envio de requisições HTTP elaboradas para executar código Java arbitrário. Um sistema comprometido emite então uma requisição HTTP PUT para um servidor externo para confirmar a exploração bem-sucedida. Subsequentemente, comandos são enviados para buscar um binário ELF que hospeda outras ferramentas relacionadas ao **Interlock**. As ferramentas identificadas incluem: * Um script de reconhecimento em PowerShell para enumeração abrangente do ambiente Windows. * Trojans de acesso remoto personalizados escritos em JavaScript e Java, oferecendo comando e controle, acesso interativo de shell, execução de comandos, transferência de arquivos e capacidade de proxy SOCKS5. Eles também apresentam mecanismos de autoatualização e autodeleção. * Um script Bash configurando servidores Linux como proxies reversos HTTP, entregando **fail2ban** e usando **HAProxy** para obscurecer as origens do atacante. Ele também inclui uma rotina de apagamento de logs. * Um web shell residente em memória para inspecionar requisições de entrada em busca de payloads de comando criptografados. * Um beacon de rede leve para validar a execução de código ou a alcançabilidade de portas de rede. * **ConnectWise ScreenConnect** para acesso remoto persistente. * **Volatility Framework**, um framework de forense de memória de código aberto.  As ligações com o **Interlock** são baseadas em indicadores técnicos e operacionais, incluindo a nota de resgate e o portal de negociação TOR. O ator de ameaça provavelmente está operacional durante o fuso horário UTC+3. ### Recomendações Dada a exploração ativa, os usuários são instados a aplicar patches imediatamente, realizar avaliações de segurança, revisar as implantações do **ScreenConnect** e implementar estratégias de defesa em profundidade. "A verdadeira história aqui não é apenas sobre uma vulnerabilidade ou um grupo de ransomware – é sobre o desafio fundamental que os exploits zero-day representam para todos os modelos de segurança", declarou **Moses**. "Quando os atacantes exploram vulnerabilidades antes que os patches existam, mesmo os programas de patching mais diligentes não podem protegê-lo nessa janela crítica." Ele enfatizou: "É precisamente por isso que a defesa em profundidade é essencial – controles de segurança em camadas fornecem proteção quando qualquer controle individual falha ou ainda não foi implantado. O patching rápido continua sendo fundamental no gerenciamento de vulnerabilidades, mas a defesa em profundidade ajuda as organizações a não ficarem indefesas durante a janela entre o exploit e o patch." ### Táticas de Ransomware em Evolução A divulgação coincide com as descobertas do **Google** de que os atores de ransomware estão adaptando suas táticas devido à queda nas taxas de pagamento. Isso inclui o direcionamento de vulnerabilidades em VPNs e firewalls comuns e a dependência maior de recursos integrados do Windows. Múltiplos clusters de ameaças também estão usando malvertising e táticas de SEO para distribuir malware. Outras técnicas comuns incluem credenciais comprometidas, backdoors e software legítimo de desktop remoto para acesso inicial, juntamente com o uso de ferramentas integradas para reconhecimento, escalonamento de privilégios e movimento lateral. O **Google** prevê que o ransomware permanecerá uma ameaça dominante, mas a redução dos lucros pode levar os atores a explorar outros métodos de monetização, como o aumento da extorsão por roubo de dados ou o uso de infraestrutura comprometida para phishing. ### Cisco Atualiza Aviso A **Cisco** atualizou seu aviso para a **CVE-2026-20131** para confirmar a exploração ativa e recomenda fortemente a atualização para uma versão de software corrigida.