Cisco FMC Zero-Day: Interlock-Ransomware nutzt CVSS-10.0-Lücke seit Januar aus
8 Min. Lesezeit
36 Tage lang konnten Angreifer unauthentifiziert Root-Zugriff auf Cisco Secure Firewall Management Center erlangen – bevor Cisco einen Patch bereitstellte. Die Interlock-Ransomware-Gruppe nutzte die Schwachstelle CVE-2026-20131 (CVSS 10.0) seit dem 26. Januar 2026 aktiv aus. Amazon Threat Intelligence deckte die Kampagne über sein MadPot-Honeypot-Netzwerk auf. Es gibt keinen Workaround. Wer nicht gepatcht hat, ist verwundbar.
Das Wichtigste in Kürze
- CVSS 10.0 – Maximum: CVE-2026-20131 erlaubt unauthentifizierte Remote Code Execution als Root auf Cisco FMC (NVD, März 2026).
- 36 Tage Zero-Day: Erste Ausnutzung am 26. Januar 2026 – Cisco-Patch erst am 4. März 2026 (Amazon Threat Intelligence).
- Keine Workarounds: Cisco bestätigt: Es gibt keine temporären Gegenmaßnahmen. Einzige Abhilfe ist das Update auf Version 7.4.2.1 oder höher.
- CISA KEV-Eintrag: Die US-Cybersicherheitsbehörde nahm die Schwachstelle am 19. März 2026 in den Known Exploited Vulnerabilities Catalog auf.
- Interlock im Profil: Die Ransomware-Gruppe ist seit September 2024 aktiv und setzt auf Double Extortion mit DSGVO-Framing in Lösegeldforderungen.
Was passiert ist: 36 Tage Zero-Day
Am 26. Januar 2026 registrierte Amazons MadPot-Honeypot-Netzwerk die ersten Angriffsversuche gegen Cisco Secure Firewall Management Center (FMC). Die Angreifer nutzten eine bis dahin unbekannte Schwachstelle in der Web-Management-Schnittstelle: CVE-2026-20131, klassifiziert mit dem maximalen CVSS-Score von 10.0. Der Angriff erfordert keine Authentifizierung, keine Benutzerinteraktion und gibt dem Angreifer Root-Zugriff auf das betroffene System.
Cisco veröffentlichte den Patch erst am 4. März 2026 – 36 Tage nach Beginn der aktiven Ausnutzung. Am 18. März aktualisierte Cisco das Advisory und bestätigte offiziell die Exploitation in the Wild. Am 19. März nahm CISA die Schwachstelle in den Known Exploited Vulnerabilities Catalog auf und setzte US-Bundesbehörden eine Patch-Deadline bis zum 22. März. Es gibt keinen Workaround – wer betroffen ist, muss patchen.
Betroffen sind FMC-Versionen 7.0.5 bis 7.4.1.1 sowie Versionen aus den 7.6.x-, 7.7.x- und 10.0.0-Linien. Die korrigierte Version für den 7.4.x-Zweig ist 7.4.2.1. Cisco veröffentlichte Patches für alle betroffenen Versionszweige im zugehörigen Security Advisory. Die vollständige Timeline verdeutlicht den Ernst der Lage:
| Datum | Ereignis |
|---|---|
| 26.01.2026 | Erste Ausnutzung durch Interlock (Amazon MadPot) |
| 04.03.2026 | Cisco veröffentlicht Advisory + Patches |
| 18.03.2026 | Cisco bestätigt aktive Exploitation in the Wild |
| 19.03.2026 | CISA fügt CVE in KEV Catalog ein |
| 20.03.2026 | Amazon veröffentlicht IoCs und Analyse |
| 25.03.2026 | Cisco Advisory v1.2 Final |
Die Schwachstelle: Unsichere Java-Deserialisierung
CVE-2026-20131 basiert auf unsicherer Deserialisierung nicht vertrauenswürdiger Daten (CWE-502). Der Angriffsvektor ist die Web-Management-Schnittstelle des FMC. Der Ablauf im Detail:
Der Angreifer sendet einen speziell präparierten HTTP-Request an die FMC-Webschnittstelle. Der Request-Body enthält ein serialisiertes Java-Objekt mit bösartigem Bytestrom. Das FMC deserialisiert das Objekt ohne ausreichende Validierung und führt den enthaltenen Code als Root aus. Zur Verifikation des Erfolgs sendet das kompromittierte System anschließend einen HTTP PUT-Request an einen vom Angreifer kontrollierten Server. Danach wird ein ELF-Binary heruntergeladen und ausgeführt, das weitere Interlock-Tools nachlädt.
Das bedeutet: Ein einziger HTTP-Request genügt, um die vollständige Kontrolle über das Firewall-Management-System zu erlangen. Von dort aus hat der Angreifer Zugriff auf die Konfiguration aller verwalteten Firewalls, die Netzwerktopologie und potenziell das gesamte Unternehmensnetzwerk. Die Schwachstelle erfordert keinerlei Vorkenntnisse über das Zielsystem – keine Credentials, keine Session-Tokens, keine vorherige Interaktion.
Besonders kritisch ist die Rolle des FMC in der Netzwerkarchitektur. Das Management Center ist die zentrale Konfigurationsinstanz für alle angeschlossenen Cisco Firewalls. Wer das FMC kontrolliert, kontrolliert die gesamte Perimeter-Security des Unternehmens. Policy-Änderungen, Regelanpassungen und Zugriffslisten lassen sich von dort aus auf alle verwalteten Geräte verteilen. Ein kompromittiertes FMC ist kein isoliertes Problem – es ist ein Netzwerk-weiter Vorfall.
Neben CVE-2026-20131 adressierte Cisco im selben Advisory auch CVE-2026-20079, ebenfalls mit CVSS 10.0 bewertet. Beide Schwachstellen wurden mit denselben Patches behoben. Wer eines der beiden CVEs in seiner Umgebung als relevant einstuft, sollte beide als kritisch behandeln.
Wer dahintersteckt: Interlock im Profil
Die Interlock-Ransomware-Gruppe ist seit September 2024 aktiv und verfolgt einen Double-Extortion-Ansatz: Daten werden exfiltriert und verschlüsselt. Opfer erhalten Lösegeldforderungen die explizit auf Datenschutzgesetze verweisen – ein DSGVO-Framing, das den Druck auf europäische Opfer gezielt erhöhen soll. Die Verhandlung läuft über ein TOR-basiertes Portal, das für jedes Opfer individuelle Zugangsdaten bereitstellt.
Bestätigte frühere Angriffe von Interlock umfassen den US-Dialyseanbieter DaVita, das Krankenhausnetzwerk Kettering Health, die Texas Tech University sowie die Stadt Saint Paul in Minnesota. In Großbritannien setzte die Gruppe den NodeSnake RAT gegen mehrere Universitäten ein. Die Zeitzonenanalyse der Operatoren-Aktivitäten deutet auf eine Herkunft in der UTC+3-Zone hin – Osteuropa oder Russland. Das Profil zeigt eine professionell operierende Gruppe mit dedizierter Infrastruktur, eigenem Entwicklerteam und einem klaren Fokus auf kritische Sektoren in Industrieländern. Die Kombination aus Double Extortion und DSGVO-Framing macht Interlock zu einer besonders relevanten Bedrohung für europäische Unternehmen.
Interlock setzt auf ein breites Arsenal: PowerShell-Skripte für Netzwerk-Mapping und Reconnaissance, JavaScript- und Java-basierte Custom RATs, missbrauchte ConnectWise ScreenConnect-Instanzen für Persistence, Fileless Webshells für Anti-Forensics und systematisches Log-Löschen nach erfolgreicher Kompromittierung. Die Gruppe nutzt zudem eine Proxy-Relay-Infrastruktur zur Verschleierung des Angriffsursprungs und setzt Volatility und Certify für Memory-Analyse und Active Directory Enumeration ein.
Mehrere Analysten berichten, dass Teile der Interlock-Malware unter Nutzung generativer KI-Tools entwickelt wurden – eine Entwicklung die den Aufwand für die Erstellung maßgeschneiderter Angriffswerkzeuge weiter senkt. Die Gruppe richtet sich primär gegen Sektoren mit hohem Zahlungsdruck: Gesundheitswesen, Bildung, öffentlicher Sektor und produzierende Industrie. Alle diese Sektoren sind in der DACH-Region stark vertreten.
Was Amazon aufgedeckt hat
Amazon Threat Intelligence entdeckte die Kampagne über sein MadPot-System – ein globales Honeypot-Netzwerk, das Angreifer-Infrastruktur und Command-and-Control-Kommunikation beobachtet. Ein OPSEC-Fehler der Interlock-Operatoren legte das vollständige Toolkit der Gruppe offen: Reconnaissance-Skripte, Custom RATs, Evasion-Mechanismen und die Proxy-Relay-Infrastruktur, über die die Angriffe verschleiert wurden.
Amazon koordinierte die Offenlegung mit Cisco und veröffentlichte am 20. März 2026 einen detaillierten Blog-Post mit Indicators of Compromise (IoCs) und defensiven Empfehlungen. Dieser Blog-Post ist derzeit die beste öffentlich verfügbare Quelle für konkrete IoCs – Hashes, IP-Adressen und Domains der Angreifer-Infrastruktur. Security-Teams sollten diese IoCs sofort in ihre Detection-Systeme einspielen und rückwirkend ab Ende Januar gegen ihre Log-Daten abgleichen. Ein Fehlen von Matches ist dabei keine Entwarnung, da Interlock aktiv Logs löscht und Fileless-Techniken einsetzt die klassische Signaturerkennung umgehen.
Für DACH-Unternehmen ist relevant: Interlock-Malware-Samples wurden unter anderem aus Deutschland eingereicht. Ob dies im Kontext des FMC-Exploits oder früherer Interlock-Aktivitäten geschah, ist aus öffentlichen Quellen nicht trennbar. Das BSI hat zum Redaktionsschluss kein eigenes Advisory zu CVE-2026-20131 veröffentlicht – eine Lücke die angesichts der Verbreitung von Cisco FMC in deutschen Unternehmensnetzen auffällt.
Die fehlende BSI-Warnung sollte nicht als Entwarnung verstanden werden. CISA hat die Schwachstelle bereits in den KEV Catalog aufgenommen und US-Bundesbehörden eine Patch-Frist gesetzt. Wer unter NIS-2 fällt und eine FMC-Kompromittierung feststellt, ist zur Erstmeldung beim BSI innerhalb von 24 Stunden verpflichtet. Eine detaillierte Meldung muss innerhalb von 72 Stunden folgen. Angesichts des 36-Tage-Fensters seit der ersten Ausnutzung sollten Logs rückwirkend bis zum 26. Januar 2026 geprüft werden.
Was jetzt zu tun ist
Die folgenden acht Schritte sollten in dieser Reihenfolge abgearbeitet werden. Priorisierung: Patch zuerst, Forensik parallel.
1. Betroffenheit prüfen. Welche FMC-Versionen sind im Einsatz? Betroffen sind 7.0.5 bis 7.4.1.1 sowie 7.6.x, 7.7.x und 10.0.0. Die vollständige Versionstabelle steht im Cisco Advisory. Die Version lässt sich über die FMC-Weboberfläche unter Help und About ablesen.
2. Patch einspielen. Auf Version 7.4.2.1 oder höher aktualisieren. Da kein Workaround existiert, ist dies die einzige wirksame Maßnahme. Cisco hat Patches für alle betroffenen Versionszweige bereitgestellt.
3. FMC-Interface isolieren. Bis zum Patch: Die FMC-Web-Management-Schnittstelle auf ein dediziertes Out-of-Band-Management-Netz beschränken. Kein Internet-Exposure. Zugriff nur von autorisierten Admin-Workstations.
4. Logs prüfen. Ungewöhnliche HTTP-Requests an die FMC-Webschnittstelle suchen, insbesondere Java-Deserialisierungs-Fehler in den Application-Logs und unauthentifizierten Traffic auf den Management-Ports. HTTP PUT-Requests an externe Server sind ein starker Indikator für erfolgreiche Kompromittierung.
5. IoCs einspielen. Die vollständige Indicator-of-Compromise-Liste aus dem AWS Security Blog in SIEM und EDR laden. Rückwirkend ab dem 26. Januar 2026 suchen. Besonderes Augenmerk auf HTTP PUT-Requests an unbekannte externe Server legen – das ist der bestätigte Exfiltrations-Mechanismus.
6. Privileged Access überprüfen. Wenn ein FMC kompromittiert wurde, hatte der Angreifer Root-Zugriff auf das Firewall-Management. Sämtliche Firewall-Konfigurationen, Credentials und Zertifikate die über das betroffene FMC verwaltet wurden, müssen als potenziell kompromittiert behandelt werden. Passwort-Rotation und vollständige Zertifikatserneuerung sind dann Pflicht.
7. Incident Response Plan aktivieren. Jede bestätigte oder vermutete Kompromittierung eines FMC ist ein Severity-1-Vorfall. Der Angreifer hatte potenziell Zugriff auf die gesamte Firewall-Infrastruktur. Das bedeutet: Alle verwalteten Firewall-Regeln auf unautorisierte Änderungen prüfen, Backup-Konfigurationen auf Integrität validieren und die Netzwerksegmentierung verifizieren. Wer keinen Incident-Response-Plan hat, sollte diese Lücke parallel schließen.
8. Cisco Security Cloud Control prüfen. Berichte deuten darauf hin, dass auch die cloudbasierte Cisco Security Cloud Control (SCC) von der Schwachstelle betroffen sein könnte. Wer SCC nutzt, sollte den Cisco-Support direkt kontaktieren und den Patch-Status bestätigen lassen.
Fazit
CVE-2026-20131 ist der schwerwiegendste Cisco-Exploit der letzten Monate. Maximaler CVSS-Score, unauthentifizierter Root-Zugriff, 36 Tage aktive Ausnutzung vor dem Patch und keine Workarounds – das ist die schlechteste Kombination die ein Security-Advisory liefern kann.
Wer Cisco FMC betreibt und noch nicht gepatcht hat, akzeptiert ein Risiko das nicht zu rechtfertigen ist – weder technisch noch gegenüber der Geschäftsführung, die unter NIS-2 persönlich haftet. Die Interlock-Gruppe hat gezeigt, dass sie diese Lücke professionell und im großen Stil ausnutzt. Die Kombination aus Java-Deserialisierung, Root-Zugriff und der zentralen Rolle des FMC in der Netzwerkarchitektur macht jeden nicht gepatchten FMC zu einem Netzwerk-weiten Sicherheitsrisiko. Patchen ist keine Empfehlung, sondern Pflicht. Heute.
Häufige Fragen
Ist mein Unternehmen betroffen?
Wenn Sie Cisco Secure Firewall Management Center in den Versionen 7.0.5 bis 7.4.1.1, 7.6.x, 7.7.x oder 10.0.0 einsetzen: ja. Die vollständige Versionstabelle finden Sie im Cisco Advisory cisco-sa-fmc-rce-NKhnULJh. Prüfen Sie Ihre FMC-Version über die Weboberfläche unter Help > About.
Gibt es einen Workaround bis zum Patch?
Nein. Cisco bestätigt explizit: Es gibt keine Workarounds. Die einzige wirksame Maßnahme ist das Update auf die gepatchte Version. Als Interim-Maßnahme sollten Sie die FMC-Management-Schnittstelle auf ein isoliertes Netzwerk beschränken und den Zugriff auf autorisierte Admin-Workstations begrenzen.
Was ist Interlock?
Interlock ist eine seit September 2024 aktive Ransomware-Gruppe die Double Extortion betreibt: Daten werden exfiltriert und verschlüsselt. Die Gruppe nutzt DSGVO-Verweise in ihren Lösegeldforderungen, um den Druck auf europäische Opfer zu erhöhen. Bestätigte Ziele umfassen Gesundheitsdienstleister, Universitäten und öffentliche Einrichtungen.
Woher stammen die IoCs?
Die vollständigste öffentlich verfügbare IoC-Liste wurde von Amazon Threat Intelligence im AWS Security Blog veröffentlicht. Amazon entdeckte die Kampagne über sein MadPot-Honeypot-Netzwerk und koordinierte die Offenlegung mit Cisco. Die IoCs umfassen Datei-Hashes, IP-Adressen und Domains der Angreifer-Infrastruktur.
Muss ich NIS-2 Meldepflichten beachten?
Wenn Ihr Unternehmen unter NIS-2 fällt und Sie Anzeichen einer Kompromittierung feststellen: ja. Die Erstmeldung an das BSI muss innerhalb von 24 Stunden erfolgen, eine detaillierte Meldung innerhalb von 72 Stunden. Prüfen Sie Ihre Logs ab dem 26. Januar 2026 rückwirkend – ein kompromittiertes FMC kann wochen- oder monatelang unentdeckt bleiben.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
- → NIS2 und SaaS: Die Compliance-Lücke (cloudmagazin)
- → Cyber-Versicherung für KMU: Was wirklich abgedeckt ist (MyBusinessFuture)
- → KI-Governance: Was der Vorstand jetzt wissen muss (Digital Chiefs)
Quelle Titelbild: Pexels / Markus Winkler (px:30965500)
