Interlock勒索软件利用思科FMC零日漏洞获取管理权限

亚马逊威胁情报部门近日发出警告，正在进行的Interlock勒索软件攻击活动正在利用思科安全防火墙管理中心(FMC)软件中一个最近披露的严重安全漏洞。

漏洞详情与影响

该漏洞编号为CVE-2026-20131，CVSS评分为满分10.0分，属于用户提供的Java字节流不安全反序列化问题。攻击者可以利用此漏洞在未经身份验证的情况下，远程绕过身份验证并在受影响设备上以root权限执行任意Java代码。

根据亚马逊全球传感器网络MadPot收集的数据，该安全漏洞自2026年1月26日以来就被作为零日漏洞利用，比思科公开披露该漏洞早了一个多月。

亚马逊集成安全首席信息安全官CJ Moses在报告中表示："这不仅仅是另一个漏洞利用；Interlock手中掌握着零日漏洞，让他们在防御者甚至不知道要寻找什么之前就有一周的时间来入侵组织。在发现这一点后，我们与思科分享了我们的发现，以帮助支持他们的调查并保护客户。"

攻击链分析

亚马逊表示，这一发现得益于威胁行为者在操作安全方面的失误，他们通过配置错误的基础设施服务器暴露了网络犯罪集团的操作工具包，让研究人员得以深入了解其多阶段攻击链、定制远程访问木马、侦察脚本和规避技术。

攻击链包括向受影响软件的特定路径发送精心制作的HTTP请求，旨在执行任意Java代码。随后，被入侵的系统向外部服务器发出HTTP PUT请求，以确认成功利用。完成此步骤后，系统接收命令从远程服务器获取ELF二进制文件，该服务器托管与Interlock相关的其他工具。

攻击工具清单

研究人员识别出的工具包括：

PowerShell侦察脚本，用于系统性的Windows环境枚举，收集操作系统和硬件详细信息、运行服务、已安装软件、存储配置、Hyper-V虚拟机清单、桌面、文档和下载目录中的用户文件列表、Chrome、Edge、Firefox、Internet Explorer和360浏览器的浏览器痕迹、活动网络连接以及Windows事件日志中的RDP身份验证事件。

用JavaScript和Java编写的自定义远程访问木马，具备命令和控制、交互式shell访问、任意命令执行、双向文件传输和SOCKS5代理功能。它还支持自我更新和自我删除机制，可以在不需要重新感染机器的情况下替换或删除工件，并挑战取证调查。

Bash脚本，用于将Linux服务器配置为HTTP反向代理以掩盖攻击者的真实来源。该脚本部署fail2ban（一个开源Linux入侵防护工具），编译并生成一个HAProxy实例，该实例监听80端口并将所有入站HTTP流量转发到硬编码的目标IP地址。此外，基础设施清洗脚本每五分钟运行一次日志清除例程作为定时任务，积极删除和清理*.log文件的内容，并通过取消设置HISTFILE变量来抑制shell历史记录。

内存驻留的Web shell，用于检查传入请求中包含加密命令负载的特殊参数，然后解密并执行这些命令。

轻量级网络信标，用于联系攻击者控制的基础设施，可能用于验证成功的代码执行或在初始利用后确认网络端口可达性。

ConnectWise ScreenConnect，用于持久远程访问，并在其他立足点被检测和删除时作为替代路径。

Volatility Framework，一个开源内存取证框架。

威胁归因与时区分析

与Interlock的关联源于"趋同"的技术和操作指标，包括嵌入的勒索说明和TOR谈判门户。证据显示，威胁行为者可能在UTC+3时区操作。

防护建议

鉴于该漏洞正在被积极利用，建议用户尽快应用补丁，进行安全评估以识别潜在的入侵，检查ScreenConnect部署是否存在未经授权的安装，并实施纵深防御策略。

Moses表示："这里的真正故事不仅仅是关于一个漏洞或一个勒索软件组织，而是关于零日漏洞对每个安全模型构成的根本挑战。当攻击者在补丁存在之前利用漏洞时，即使是最勤勉的补丁程序也无法在那个关键窗口期保护你。"

"这正是纵深防御至关重要的原因——分层安全控制在任何单一控制失效或尚未部署时提供保护。快速修补仍然是漏洞管理的基础，但纵深防御帮助组织在利用和修补之间的窗口期不至于毫无防备。"

行业趋势变化

这一披露正值谷歌透露勒索软件行为者正在改变战术以应对付款率下降，他们针对常见VPN和防火墙中的漏洞进行初始访问，更少依赖外部工具，更多依赖内置的Windows功能。

多个威胁集群，包括勒索软件操作者本身和初始访问代理，也被发现采用恶意广告和/或搜索引擎优化(SEO)战术来分发恶意软件负载进行初始访问。其他常见观察到的技术包括使用被入侵的凭据、后门或合法的远程桌面软件建立立足点，以及依靠内置和已安装的工具进行侦察、权限提升和横向移动。

谷歌表示："虽然我们预计勒索软件仍将是全球最主要的威胁之一，但利润的减少可能导致一些威胁行为者寻求其他盈利方法。这可能表现为数据盗窃勒索操作的增加、使用更激进的勒索战术，或机会性地利用对受害者环境的访问权限进行二次盈利机制，例如使用被入侵的基础设施发送钓鱼消息。"

Q&A

Q1：CVE-2026-20131漏洞有多严重？会造成什么影响？

A：CVE-2026-20131是思科安全防火墙管理中心软件中的一个严重漏洞，CVSS评分为满分10.0分。攻击者可以利用此漏洞在未经身份验证的情况下，远程绕过身份验证并在受影响设备上以root权限执行任意Java代码，威胁极大。

Q2：Interlock勒索软件是如何利用这个零日漏洞的？

A：Interlock勒索软件自2026年1月26日起就开始利用这个零日漏洞，比思科公开披露早了一个多月。攻击者向受影响软件发送精心制作的HTTP请求执行任意Java代码，然后下载各种攻击工具，包括侦察脚本、远程访问木马和代理工具等。

Q3：面对零日漏洞攻击，企业应该如何防护？

A：专家建议实施纵深防御策略，因为即使最勤勉的补丁程序也无法在零日漏洞的关键窗口期提供保护。企业应尽快应用补丁，进行安全评估识别潜在入侵，检查远程访问软件部署，并建立分层安全控制来应对单一控制失效的情况。