Cisco FMC CVE-2026-20131: zero-day a CVSS 10 sfruttato dal ransomware Interlock 36 giorni prima del patch

La CVE-2026-20131 (CVSS 10.0) è una vulnerabilità critica nel componente di deserializzazione Java dell'interfaccia web di gestione di Cisco Secure Firewall Management Center (FMC). Un attaccante remoto non autenticato può inviare un oggetto Java serializzato appositamente costruito per eseguire codice arbitrario con privilegi root. Cisco ha rilasciato la patch il 4 marzo 2026, ma secondo Help Net Security e la ricerca del threat intelligence system Amazon MadPot, il gruppo ransomware Interlock la sfruttava come zero-day già dal 26 gennaio 2026 — 36 giorni prima della divulgazione pubblica.
​

L'analisi di AWS ha permesso di mappare l'infrastruttura degli attaccanti, rivelando un hub centralizzato per la gestione delle vittime e un arsenale che include un PowerShell script per enumerazione di host Windows, un RAT JavaScript, un implant Java per comunicazioni C2 ridondanti e uno script Bash per anonimizzare il traffico cancellando le tracce in tempo reale. La tecnica ClickFix è usata per l'accesso iniziale, affiancata dai malware personalizzati NodeSnake e Slopoly. Il 18 marzo Cisco ha aggiornato l'advisory confermando l'exploitation, e la CISA ha inserito la CVE nel KEV imponendo alle agenzie federali la remediation entro il 22 marzo 2026. Si tratta del terzo zero-day Cisco confermato dall'inizio del 2026.
​

Versioni affette: Cisco Secure Firewall Management Center Software (consultare il Software Checker Cisco per la versione specifica).
Azione raccomandata: aggiornare immediatamente; se l'interfaccia FMC non è esposta su Internet pubblico, il rischio è parzialmente ridotto ma non eliminato.
 

Fonti: ACN, Help Net Security, Bleeping Computer