思科防火牆管理平臺零時差漏洞遭勒索軟體駭客Interlock濫用，最早可追溯至一月底

Amazon威脅情報團隊指出，勒索軟體駭客組織Interlock自1月26日開始，就將CVE-2026-20131用於實際攻擊行動，時間是早於思科公布漏洞的36天前。該公司循線調查，認為Interlock手裡握有許多零時差漏洞，使得攻擊者能在企業組織無法察覺之前進行滲透。Amazon發現Interlock不當配置的基礎設施，並在其中找到該組織犯案的完整工具包，從而得知駭客的多階段攻擊鏈、RAT木馬程式、偵察用的指令碼，以及迴避偵測的技術。

CVE-2026-20131是遠端程式碼執行（RCE）漏洞，源自使用者提供的Java位元組串流不安全的反序列化，攻擊者可將特製的序列化Java物件傳送到Secure FMC網頁管理介面，一旦成功觸發漏洞，就有機會在未經身分驗證的情況下，以root身分執行任意的Java程式碼。

究竟Interlock如何將漏洞用於實際攻擊？他們對Secure FMC特定路徑發出HTTP請求，請求內容包含Java程式碼的執行，以及兩個嵌入的網址，其中一個網址用於傳送利用漏洞的組態資料，另一個則是讓受害系統發出HTTP PUT請求，並上傳特定檔案，目的是回傳、確認漏洞成功利用。

一旦上述的流程完成，攻擊者就會從遠端伺服器擷取ELF二進位檔案並執行，然後下載Interlock的攻擊工具包。駭客也藉此將攻擊流程產生的特定資料，回傳到他們控制的伺服器。