Interlock勒索軟件利用思科FMC零日漏洞獲取管理權限

亞馬遜威脅情報部門近日發出警告，正在進行的Interlock勒索軟件攻擊活動正在利用思科安全防火墻管理中心(FMC)軟件中一個最近披露的嚴重安全漏洞。

漏洞詳情與影響

該漏洞編號為CVE-2026-20131，CVSS評分為滿分10.0分，屬于用戶提供的Java字節流不安全反序列化問題。攻擊者可以利用此漏洞在未經身份驗證的情況下，遠程繞過身份驗證并在受影響設備上以root權限執行任意Java代碼。

根據亞馬遜全球傳感器網絡MadPot收集的數據，該安全漏洞自2026年1月26日以來就被作為零日漏洞利用，比思科公開披露該漏洞早了一個多月。

亞馬遜集成安全首席信息安全官CJ Moses在報告中表示："這不僅僅是另一個漏洞利用；Interlock手中掌握著零日漏洞，讓他們在防御者甚至不知道要尋找什么之前就有一周的時間來入侵組織。在發現這一點后，我們與思科分享了我們的發現，以幫助支持他們的調查并保護客戶。"

攻擊鏈分析

亞馬遜表示，這一發現得益于威脅行為者在操作安全方面的失誤，他們通過配置錯誤的基礎設施服務器暴露了網絡犯罪集團的操作工具包，讓研究人員得以深入了解其多階段攻擊鏈、定制遠程訪問木馬、偵察腳本和規避技術。

攻擊鏈包括向受影響軟件的特定路徑發送精心制作的HTTP請求，旨在執行任意Java代碼。隨后，被入侵的系統向外部服務器發出HTTP PUT請求，以確認成功利用。完成此步驟后，系統接收命令從遠程服務器獲取ELF二進制文件，該服務器托管與Interlock相關的其他工具。

攻擊工具清單

研究人員識別出的工具包括：

PowerShell偵察腳本，用于系統性的Windows環境枚舉，收集操作系統和硬件詳細信息、運行服務、已安裝軟件、存儲配置、Hyper-V虛擬機清單、桌面、文檔和下載目錄中的用戶文件列表、Chrome、Edge、Firefox、Internet Explorer和360瀏覽器的瀏覽器痕跡、活動網絡連接以及Windows事件日志中的RDP身份驗證事件。

用JavaScript和Java編寫的自定義遠程訪問木馬，具備命令和控制、交互式shell訪問、任意命令執行、雙向文件傳輸和SOCKS5代理功能。它還支持自我更新和自我刪除機制，可以在不需要重新感染機器的情況下替換或刪除工件，并挑戰取證調查。

Bash腳本，用于將Linux服務器配置為HTTP反向代理以掩蓋攻擊者的真實來源。該腳本部署fail2ban（一個開源Linux入侵防護工具），編譯并生成一個HAProxy實例，該實例監聽80端口并將所有入站HTTP流量轉發到硬編碼的目標IP地址。此外，基礎設施清洗腳本每五分鐘運行一次日志清除例程作為定時任務，積極刪除和清理*.log文件的內容，并通過取消設置HISTFILE變量來抑制shell歷史記錄。

內存駐留的Web shell，用于檢查傳入請求中包含加密命令負載的特殊參數，然后解密并執行這些命令。

輕量級網絡信標，用于聯系攻擊者控制的基礎設施，可能用于驗證成功的代碼執行或在初始利用后確認網絡端口可達性。

ConnectWise ScreenConnect，用于持久遠程訪問，并在其他立足點被檢測和刪除時作為替代路徑。

Volatility Framework，一個開源內存取證框架。

威脅歸因與時區分析

與Interlock的關聯源于"趨同"的技術和操作指標，包括嵌入的勒索說明和TOR談判門戶。證據顯示，威脅行為者可能在UTC+3時區操作。

防護建議

鑒于該漏洞正在被積極利用，建議用戶盡快應用補丁，進行安全評估以識別潛在的入侵，檢查ScreenConnect部署是否存在未經授權的安裝，并實施縱深防御策略。

Moses表示："這里的真正故事不僅僅是關于一個漏洞或一個勒索軟件組織，而是關于零日漏洞對每個安全模型構成的根本挑戰。當攻擊者在補丁存在之前利用漏洞時，即使是最勤勉的補丁程序也無法在那個關鍵窗口期保護你。"

"這正是縱深防御至關重要的原因——分層安全控制在任何單一控制失效或尚未部署時提供保護。快速修補仍然是漏洞管理的基礎，但縱深防御幫助組織在利用和修補之間的窗口期不至于毫無防備。"

行業趨勢變化

這一披露正值谷歌透露勒索軟件行為者正在改變戰術以應對付款率下降，他們針對常見VPN和防火墻中的漏洞進行初始訪問，更少依賴外部工具，更多依賴內置的Windows功能。

多個威脅集群，包括勒索軟件操作者本身和初始訪問代理，也被發現采用惡意廣告和/或搜索引擎優化(SEO)戰術來分發惡意軟件負載進行初始訪問。其他常見觀察到的技術包括使用被入侵的憑據、后門或合法的遠程桌面軟件建立立足點，以及依靠內置和已安裝的工具進行偵察、權限提升和橫向移動。

谷歌表示："雖然我們預計勒索軟件仍將是全球最主要的威脅之一，但利潤的減少可能導致一些威脅行為者尋求其他盈利方法。這可能表現為數據盜竊勒索操作的增加、使用更激進的勒索戰術，或機會性地利用對受害者環境的訪問權限進行二次盈利機制，例如使用被入侵的基礎設施發送釣魚消息。"

Q&A

Q1：CVE-2026-20131漏洞有多嚴重？會造成什么影響？

A：CVE-2026-20131是思科安全防火墻管理中心軟件中的一個嚴重漏洞，CVSS評分為滿分10.0分。攻擊者可以利用此漏洞在未經身份驗證的情況下，遠程繞過身份驗證并在受影響設備上以root權限執行任意Java代碼，威脅極大。

Q2：Interlock勒索軟件是如何利用這個零日漏洞的？

A：Interlock勒索軟件自2026年1月26日起就開始利用這個零日漏洞，比思科公開披露早了一個多月。攻擊者向受影響軟件發送精心制作的HTTP請求執行任意Java代碼，然后下載各種攻擊工具，包括偵察腳本、遠程訪問木馬和代理工具等。

Q3：面對零日漏洞攻擊，企業應該如何防護？

A：專家建議實施縱深防御策略，因為即使最勤勉的補丁程序也無法在零日漏洞的關鍵窗口期提供保護。企業應盡快應用補丁，進行安全評估識別潛在入侵，檢查遠程訪問軟件部署，并建立分層安全控制來應對單一控制失效的情況。