Alerta por ransomware Interlock que explota vulnerabilidad crítica en Cisco FMC
Publicado el
Ransomware Interlock y la vulnerabilidad crítica en Cisco FMC
Amazon Threat Intelligence ha emitido una advertencia sobre una campaña activa de ransomware Interlock, que explota una vulnerabilidad crítica recientemente revelada en el Cisco Secure Firewall Management Center (FMC). Esta vulnerabilidad, identificada como CVE-2026-20131, presenta una puntuación CVSS de 10.0 y se debe a una deserialización insegura de flujos de bytes de Java proporcionados por el usuario. Esto permite a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java de forma arbitraria con privilegios de root en los dispositivos afectados.
Desde su descubrimiento, se ha estimado que esta vulnerabilidad ha sido explotada como un zero-day desde el 26 de enero de 2026, lo que significa que los atacantes han tenido más de un mes para comprometer organizaciones antes de que Cisco hiciera la divulgación pública. CJ Moses, director de seguridad de información de Amazon, declaró que la detección de esta vulnerabilidad fue posible gracias a un error de seguridad operacional del grupo de cibercriminales, que expuso su conjunto de herramientas a través de un servidor de infraestructura mal configurado.
Cadena de ataque y herramientas utilizadas
La cadena de ataque de Interlock incluye el envío de solicitudes HTTP diseñadas a un camino específico en el software afectado, con el objetivo de ejecutar código Java arbitrario. Una vez que se logra esta explotación, el sistema comprometido envía una solicitud HTTP PUT a un servidor externo para confirmar el éxito de la operación. Posteriormente, se envían comandos para obtener un binario ELF de un servidor remoto, que alberga otras herramientas asociadas con el ransomware.
Entre las herramientas identificadas se encuentran: - Un script de PowerShell para la enumeración sistemática del entorno Windows, recopilando información sobre el sistema operativo, hardware, servicios en ejecución, software instalado y más. - Trojans de acceso remoto personalizados en JavaScript y Java para control y ejecución de comandos. - Un script Bash para configurar servidores Linux como proxies reversos HTTP, ocultando el origen del atacante. - Un shell web residente en memoria para inspeccionar solicitudes entrantes y ejecutar comandos encriptados.
Recomendaciones de seguridad
Ante la explotación activa de esta vulnerabilidad, se recomienda a los usuarios aplicar los parches disponibles sin demora, realizar evaluaciones de seguridad para identificar posibles compromisos y revisar las implementaciones de ScreenConnect para detectar instalaciones no autorizadas. Además, es crucial implementar estrategias de defensa en profundidad para minimizar riesgos.
CJ Moses subrayó que la problemática no se limita a una única vulnerabilidad o grupo de ransomware, sino que resalta el desafío fundamental que representan los zero-days para todos los modelos de seguridad. La explotación de vulnerabilidades antes de que existan parches hace que incluso los programas de parcheo más diligentes no sean efectivos en ese intervalo crítico. Por ello, la defensa en profundidad es esencial, ya que proporciona capas de seguridad que protegen a las organizaciones en caso de fallo de algún control o en la falta de implementaciones de seguridad.
En resumen, la situación actual con el ransomware Interlock pone de manifiesto la urgencia de actuar frente a vulnerabilidades críticas y la importancia de mantener sistemas actualizados y protegidos.