CVE-2026-20131 се използва от ransomware групи още преди официалния ъпдейт
Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) издаде спешно разпореждане към федералните институции да приложат корекции за критичната уязвимост CVE-2026-20131 в Cisco Secure Firewall Management Center (FMC) най-късно до 22 март.
Решението идва на фона на активна експлоатация в реални атаки, включително от ransomware групи, което превръща уязвимостта в непосредствен оперативен риск.
Уязвимост с максимална тежест и пълен контрол върху системите
Cisco публикува информация за проблема още на 4 март, като подчертава, че:
- няма налични обходни решения (workarounds)
- единствената ефективна защита е незабавно прилагане на пачове
Уязвимостта засяга уеб-базирания интерфейс на Cisco FMC – централизирана система за управление на ключови мрежови защити, включително:
- защитни стени
- системи за предотвратяване на прониквания (IPS)
- URL филтриране
- защита от зловреден софтуер
Техническият проблем се корени в небезопасна десериализация на Java обекти, което позволява:
- неавтентикиран отдалечен достъп
- изпълнение на произволен код с root права
С други думи – пълен компромис на засегнатата система без необходимост от предварителна автентикация.
Zero-day експлоатация и участие на Interlock ransomware
На 18 март Cisco актуализира бюлетина си, потвърждавайки активна експлоатация „в дивата природа“.
Допълнително разследване показва, че:
- уязвимостта е използвана като zero-day още от края на януари 2026 г.
- атаките са извършвани от групата Interlock ransomware
Това означава, че нападателите са имали повече от месец предимство, преди да бъде наличен официален пач.
Групата вече е свързвана с атаки срещу:
- здравни организации
- университети
- публични институции
Тактики, техники и инструменти на атакуващите
Освен експлоатацията на CVE-2026-20131, атакуващите използват и допълнителни техники:
- ClickFix – метод за първоначален достъп чрез социално инженерство
- персонализирани троянци за отдалечен достъп (RAT)
- зловредни инструменти като NodeSnake и Slopoly
Тази комбинация показва високо ниво на оперативна зрялост и многослойни атаки, насочени към максимален контрол и устойчив достъп.
CISA включва уязвимостта в KEV каталога
CISA официално добави CVE-2026-20131 към своя каталог на активно експлоатирани уязвимости (KEV), като я обозначи като:
„използвана в ransomware кампании“
В резултат:
- всички федерални агенции под директивата BOD 22-01 трябва да приложат пачове до 22 март
- при невъзможност – да прекратят използването на засегнатия продукт
По-широкият риск: извън федералния сектор
Въпреки че директивата е задължителна за федералните структури, рисковете далеч не се ограничават до тях.
CISA отправя препоръка към:
- частни компании
- държавни и общински институции
- всички организации, използващи Cisco FMC
да предприемат незабавни действия, тъй като експлоатацията вече е публично потвърдена.
Класически пример за критичен zero-day с масово въздействие
Случаят с CVE-2026-20131 демонстрира няколко ключови тенденции:
- ускорен цикъл от откриване до експлоатация
- предварителна употреба на уязвимости преди публичното им разкриване
- насочване към централизирани системи с висок привилегирован достъп
Особено тревожно е, че FMC управлява ядрени защитни механизми, което означава, че компромисът му дава на атакуващите контрол върху самата защитна инфраструктура.
Изводът е категоричен – организациите трябва да третират подобни уязвимости като инциденти от най-висок приоритет, а не като стандартни ъпдейти.
