La banda de ransomware Interlock habría estado explotando desde el 26 de enero de 2026 una vulnerabilidad crítica en Cisco Secure Firewall Management Center (FMC), antes de que Cisco la hiciera pública y la corrigiera el 4 de marzo de 2026. El fallo, CVE-2026-20131, permitiría ejecución remota de código sin autenticación con privilegios de root.
Una campaña atribuida a la banda de ransomware Interlock ha puesto el foco en un componente especialmente sensible para muchas organizaciones: Cisco Secure Firewall Management Center (FMC), la consola usada para administrar y orquestar políticas de seguridad en entornos con firewalls de Cisco. Según la información publicada, el grupo habría aprovechado un fallo de máxima gravedad identificado como CVE-2026-20131 en ataques de tipo zero-day desde al menos el 26 de enero de 2026, es decir, varias semanas antes de que hubiera un aviso público y una corrección disponible.
La vulnerabilidad afecta a la interfaz web de FMC y, en los escenarios descritos, permitiría a un atacante remoto no autenticado ejecutar código Java arbitrario en el sistema vulnerable, con permisos de root. En términos prácticos, esto equivale a una toma de control completa del appliance o servidor que ejecute FMC si está sin parchear. Por la naturaleza del producto, el riesgo va más allá del propio servidor comprometido: una intrusión en la plataforma de gestión puede facilitar cambios maliciosos de configuración, alteración de reglas, desactivación de controles o preparación del terreno para despliegues de ransomware en redes internas.
El artículo indica que la detección de esta explotación temprana proviene de inteligencia de amenazas, y que Cisco finalmente divulgó y corrigió el problema el 4 de marzo de 2026. Este desfase –en el que los atacantes habrían tenido ventaja antes de que los defensores supieran qué buscar– es precisamente lo que hace que los zero-day sean tan dañinos: durante ese periodo, muchas organizaciones pueden estar expuestas sin medidas específicas, limitándose a controles generales como segmentación, filtrado o monitorización.
Dado el contexto, la prioridad operativa es clara: actualizar/parchear Cisco Secure FMC de inmediato a las versiones corregidas indicadas por Cisco y revisar la guía del aviso de seguridad correspondiente a CVE-2026-20131. Además, si FMC ha estado accesible desde redes no confiables o simplemente ha permanecido sin parchear desde finales de enero, conviene actuar como si pudiera haberse producido una intrusión: revisar logs, buscar actividad anómala en la interfaz web, validar integridad del sistema, comprobar cuentas y claves, y evaluar posibles signos de ejecución con privilegios elevados. En productos de gestión de seguridad, asumir ‘solo’ un compromiso del servidor suele quedarse corto; también es importante auditar cambios recientes de políticas y configuraciones distribuidas hacia el resto de la infraestructura.
Más información
- BleepingComputer: https://www.bleepingcomputer.com/news/security/interlock-ransomware-exploited-secure-fmc-flaw-in-zero-day-attacks-since-january/
Deja una respuesta