Exploitée en toute discrétion pendant des semaines, une faille critique dans son centre de gestion des pare-feu a permis à un groupe de ransomware de compromettre des équipements réseau avant même sa divulgation. Un correctif est désormais disponible, et les entreprises concernées sont invitées à agir sans attendre.
La faille n’était pas encore publique qu’elle était déjà activement exploitée. Depuis fin janvier, le groupe Interlock s’en donne à cœur joie concernant une vulnérabilité critique dans Cisco Secure Firewall Management Center, l’outil chargé de piloter la sécurité des pare-feu en entreprise. Cisco a publié un correctif début mars, mais l’exploitation a commencé bien en amont, laissant aux attaquants plusieurs semaines d’avance.
Une faille RCE sans authentification exploitée pendant des semaines
Identifiée sous la référence CVE-2026-20131, la vulnérabilité permet l’exécution de code à distance via l’interface web de Cisco Secure Firewall Management Center. Aucun identifiant n’est requis pour en tirer parti, ce qui facilite considérablement son exploitation. Un attaquant peut ainsi injecter du code Java et l’exécuter avec les privilèges root sur un système non corrigé afin d’en prendre le contrôle.
Selon les travaux de l’équipe de renseignement d’Amazon, l’exploitation remonte au 26 janvier 2026, soit 36 jours avant la publication du correctif. Pendant cette période, les organisations ciblées ne disposaient d’aucun indicateur leur permettant d’anticiper ou de bloquer ces attaques, qui ont notamment permis à Interlock de compromettre des systèmes exposés, avec des conséquences potentiellement étendues sur l’administration et la sécurité des réseaux concernés.
Cisco a indiqué avoir corrigé la vulnérabilité le 4 mars, avant de mettre à jour son avis de sécurité le 18 mars afin d’y intégrer de nouvelles informations sur son exploitation, et recommande, au vu de son score CVSS maximal de 10, d’appliquer la mise à jour sans délai.
Interlock, un groupe actif qui diversifie ses outils
Actif depuis 2024, le groupe de ransomware Interlock est déjà associé à plusieurs campagnes, dont des intrusions visant des universités au Royaume-Uni ainsi que des attaques revendiquées contre des structures de santé et des collectivités. Il s’appuie sur des chaînes d’infection relativement classiques, combinant ingénierie sociale et déploiement progressif de charges malveillantes afin de conserver un accès durable aux systèmes compromis.
Plus récemment, les chercheurs d’IBM X-Force ont observé l’utilisation d’un malware baptisé Slopoly, un script PowerShell utilisé pour maintenir un accès persistant avant le déclenchement du ransomware, dont le code présentait plusieurs caractéristiques témoignant d’une génération probable par intelligence artificielle. Cette évolution ne permet pas d’automatiser une attaque de bout en bout, mais elle facilite la production et l’adaptation rapide d’outils malveillants, avec moins de temps et de ressources.
Bref, si vous administrez des pare-feu Cisco via Cisco Secure Firewall Management Center, vous savez ce qu’il vous reste à faire.
Sources : Cisco, Amazon, BleepingComputer
