Le groupe de ransomware Interlock a tiré parti d’une vulnérabilité critique de remote code execution (RCE) dans le logiciel Secure Firewall Management Center (FMC) de Cisco. Cette faille, identifiée sous le numéro CVE-2026-20131, a été exploitée dans des attaques zero-day depuis la fin janvier.
Cisco a publié un correctif le 4 mars pour contrer cette vulnérabilité, en précisant qu’elle permettait à des attaquants non authentifiés d’exécuter du code Java arbitraire avec des privilèges root sur des appareils non corrigés. « Cette vulnérabilité résulte d’une désérialisation non sécurisée d’un flux d’octets Java fourni par l’utilisateur », a indiqué Cisco dans un avis publié deux semaines auparavant.
Bien que l’avis de Cisco indique l’absence de preuves concernant des attaques réelles exploitant cette faille, l’équipe de renseignement sur les menaces d’Amazon a rapporté que le groupe Interlock avait mené des attaques ciblant des pare-feu d’entreprise pendant plus d’un mois avant la publication du correctif. Amazon a partagé ses découvertes avec Cisco pour aider à l’enquête et protéger les clients, mais aucune exploitation active n’a encore été reconnue par Cisco.
Dans ses recherches, CJ Moses, CISO d’Amazon Integrated Security, a déclaré : « En cherchant des exploits actuels ou passés de cette vulnérabilité, nous avons trouvé que Interlock l’exploitait 36 jours avant sa divulgation publique, à partir du 26 janvier 2026. Ce n’était pas qu’un simple exploit ; Interlock avait un zero-day, leur permettant de compromettre les organisations avant même que les défenseurs ne commencent à s’en préoccuper. »
Jusqu’à présent en 2026, Cisco a résolu plusieurs autres vulnérabilités de sécurité également exploitées en tant que zero-days. En janvier, une faille critique de Cisco AsyncOS avait été corrigée, après avoir été utilisée pour infiltrer des appareils de messagerie sécurisée depuis novembre. Un correctif avait également été appliqué à une vulnérabilité de Unified Communications RCE exploitée dans des attaques zero-day.
Le mois précédent, Cisco avait géré une autre faille critique qui permettait de contourner l’authentification de Catalyst SD-WAN, facilitant ainsi l’intrusion de contrôleurs et l’ajout de pairs malveillants dans des réseaux ciblés.
Le groupe Interlock a émergé en septembre 2024, associé à ClickFix et à des attaques par malware incluant un cheval de Troie d’accès à distance, dénommé NodeSnake, sur les réseaux de plusieurs universités britanniques. Ce groupe est également responsable d’attaques sur DaVita, Kettering Health, le Texas Tech University System, ainsi que sur la ville de Saint Paul, Minnesota. Récemment, des chercheurs d’IBM X-Force ont signalé que les opérateurs d’Interlock ont déployé une nouvelle souche de malware appelée Slopoly, probablement créée à l’aide d’outils d’intelligence artificielle générative.