Zero-day Cisco FMC : Interlock-Ransomware exploite la faille CVSS-10.0 depuis janvier
8 min de lecture
Pendant 36 jours, des attaquants ont pu obtenir un accès Root non authentifié sur le Cisco Secure Firewall Management Center avant que Cisco ne publie un correctif. Le groupe de ransomware Interlock a exploité activement la vulnérabilité CVE-2026-20131 (CVSS 10.0) depuis le 26 janvier 2026. Amazon Threat Intelligence a découvert la campagne via son réseau de madpots. Il n’y a pas de solution de contournement. Ceux qui ne sont pas patchés sont vulnérables.
L’essentiel
- CVSS 10.0 – Maximum : CVE-2026-20131 permet une exécution de code distant non authentifiée en tant que Root sur Cisco FMC (NVD, mars 2026).
- 36 jours de Zero-Day : première exploitation le 26 janvier 2026 – correctif Cisco le 4 mars 2026 (Amazon Threat Intelligence).
- Pas de solution de contournement : Cisco confirme : il n’y a pas de contre-mesures temporaires. La seule solution est la mise à jour vers la version 7.4.2.1 ou supérieure.
- Entrée CISA KEV : l’autorité américaine de cybersécurité a ajouté la vulnérabilité au catalogue des vulnérabilités exploitées connues le 19 mars 2026.
- Interlock en profil : le groupe de ransomware est actif depuis septembre 2024 et mise sur le Double Extortion avec des références à la RGPD dans les demandes de rançon.
Ce qui s’est passé : 36 jours de Zero-Day
Le 26 janvier 2026, le réseau de madpots d’Amazon a enregistré les premières tentatives d’attaque contre le Cisco Secure Firewall Management Center (FMC). Les attaquants ont utilisé une vulnérabilité jusqu’alors inconnue dans l’interface de gestion web : CVE-2026-20131, classifiée avec le score CVSS maximal de 10.0. L’attaque ne nécessite aucune authentification, aucune interaction utilisateur et donne à l’attaquant un accès Root sur le système concerné.
Cisco n’a publié le correctif que le 4 mars 2026 – 36 jours après le début de l’exploitation active. Le 18 mars, Cisco a mis à jour l’avertissement et a officiellement confirmé l’exploitation dans la sauvagerie. Le 19 mars, la CISA a ajouté la vulnérabilité au catalogue des vulnérabilités exploitées connues (Known Exploited Vulnerabilities Catalog) et a fixé une date limite de correctif pour les agences fédérales américaines jusqu’au 22 mars. Il n’y a pas de solution de contournement – ceux qui sont concernés doivent appliquer un correctif.
Les versions FMC concernées sont 7.0.5 à 7.4.1.1 ainsi que les versions des branches 7.6.x-, 7.7.x- et 10.0.0. La version corrigée pour la branche 7.4.x est 7.4.2.1. Cisco a publié des correctifs pour toutes les branches de versions concernées dans l’avertissement de sécurité associé. La chronologie complète clarifie la gravité de la situation :
| Date | Événement |
|---|---|
| 26.01.2026 | Première exploitation par Interlock (Amazon MadPot) |
| 04.03.2026 | Cisco publie l’avertissement + correctifs |
| 18.03.2026 | Cisco confirme l’exploitation active dans la sauvagerie |
| 19.03.2026 | CISA ajoute CVE au catalogue KEV |
| 20.03.2026 | Amazon publie les IoC et l’analyse |
| 25.03.2026 | Avis de sécurité Cisco v1.2 final |
La vulnérabilité : Désérialisation Java non sécurisée
CVE-2026-20131 est basée sur une désérialisation non sécurisée de données non fiables (CWE-502). Le vecteur d’attaque est l’interface de gestion web du FMC. Le déroulement en détail :
L’attaquant envoie une requête HTTP spécialement préparée vers l’interface web du FMC. Le corps de la requête contient un objet Java sérialisé avec un flux d’octets malveillant. Le FMC désérialise l’objet sans validation suffisante et exécute le code contenu en tant que root. Pour vérifier le succès, le système compromis envoie ensuite une requête HTTP PUT vers un serveur contrôlé par l’attaquant. Ensuite, un binaire ELF est téléchargé et exécuté, qui charge d’autres outils Interlock.
Cela signifie : Une seule requête HTTP suffit pour obtenir un contrôle total sur le système de gestion des pare-feux. De là, l’attaquant a accès à la configuration de tous les pare-feux gérés, à la topologie réseau et potentiellement à tout le réseau d’entreprise. La vulnérabilité ne nécessite aucune connaissance préalable du système cible – aucun identifiant, aucun jeton de session, aucune interaction précédente.
Le rôle du FMC dans l’architecture réseau est particulièrement critique. Le Centre de gestion est l’instance de configuration centrale pour tous les pare-feux Cisco connectés. Celui qui contrôle le FMC contrôle toute la sécurité de périmètre de l’entreprise. Les modifications de stratégie, les ajustements de règles et les listes d’accès peuvent être diffusés de là vers tous les appareils gérés. Un FMC compromis n’est pas un problème isolé – c’est un incident à l’échelle du réseau.
En plus de CVE-2026-20131, Cisco a également adressé CVE-2026-20079 dans le même avertissement, également noté CVSS 10.0. Les deux vulnérabilités ont été corrigées avec les mêmes correctifs. Quiconque classe l’un des deux CVE comme pertinent dans son environnement devrait traiter les deux comme critiques.
Qui se cache derrière : Interlock en profil
Le groupe de ransomware Interlock est actif depuis septembre 2024 et poursuit une approche de double extorsion : les données sont extraites et chiffrées. Les victimes reçoivent des demandes de rançon qui font explicitement référence aux lois sur la protection des données – un cadre de référence à la RGPD destiné à augmenter spécifiquement la pression sur les victimes européennes. Les négociations se déroulent via un portail basé sur TOR qui fournit des données d’accès individuelles pour chaque victime.
Les attaques précédentes confirmées par Interlock incluent le fournisseur américain de dialyse DaVita, le réseau d’hôpitaux Kettering Health, l’Université Texas Tech ainsi que la ville de Saint Paul dans le Minnesota. Au Royaume-Uni, le groupe a déployé le RAT NodeSnake contre plusieurs universités. L’analyse des fuseaux horaires des activités des opérateurs pointe vers une origine dans la zone UTC+3 – Europe de l’Est ou Russie. Le profil montre un groupe opérant professionnellement avec une infrastructure dédiée, son propre équipe de développement et un focus clair sur les secteurs critiques des pays industrialisés. La combinaison de la double extorsion et du cadre de référence à la RGPD rend Interlock une menace particulièrement pertinente pour les entreprises européennes.
Interlock s’appuie sur un large arsenal : des scripts PowerShell pour le mappage réseau et la reconnaissance, des RATs personnalisés basés sur JavaScript et Java, des instances abusées de ConnectWise ScreenConnect pour la persistance, des webshells sans fichier pour l’anti-forensics et le nettoyage systématique des journaux après une compromission réussie. Le groupe utilise également une infrastructure de relais proxy pour obscurcir l’origine de l’attaque et utilise Volatility et Certify pour l’analyse mémoire et l’énumération Active Directory.
Plusieurs analystes rapportent que des parties du malware Interlock ont été développées à l’aide d’outils d’IA générative – un développement qui réduit encore l’effort pour la création d’outils d’attaque personnalisés. Le groupe vise principalement les secteurs sous forte pression de paiement : les soins de santé, l’éducation, le secteur public et l’industrie manufacturière. Tous ces secteurs sont fortement représentés dans la région DACH.
Ce qu’Amazon a découvert
Amazon Threat Intelligence a découvert la campagne via son système MadPot – un réseau de madpots mondial qui observe l’infrastructure des attaquants et la communication de commandement et de contrôle (C2). Une erreur OPSEC des opérateurs Interlock a révélé l’ensemble du kit de l’outil du groupe : des scripts de reconnaissance, des RATs personnalisés, des mécanismes d’évasion et l’infrastructure de relais proxy via laquelle les attaques étaient obscurcies.
Amazon a coordonné la divulgation avec Cisco et a publié un billet de blog détaillé le 20 mars 2026 avec des indicateurs de compromission (IoC) et des recommandations défensives. Ce billet de blog est actuellement la meilleure source publique disponible pour des IoC concrets – les hachages, les adresses IP et les domaines de l’infrastructure des attaquants. Les équipes de sécurité doivent charger ces IoC immédiatement dans leurs systèmes de détection et vérifier rétrospectivement leurs données de journal contre la fin janvier. L’absence de correspondances n’est pas une désescalade, car Interlock supprime activement les journaux et utilise des techniques sans fichier qui contourne la détection de signature classique.
Pour les entreprises DACH : des échantillons de malware Interlock ont été soumis d’Allemagne, entre autres. Il n’est pas possible de séparer cela du contexte de l’exploit FMC ou des activités Interlock précédentes à partir de sources publiques. Le BSI (Office fédéral de la sécurité informatique) n’a pas publié son propre avertissement sur CVE-2026-20131 au moment de la rédaction – une lacune qui ressort compte tenu de la diffusion du Cisco FMC dans les réseaux d’entreprise allemands.
L’absence d’avertissement BSI ne doit pas être comprise comme une désescalade. La CISA a déjà ajouté la vulnérabilité au catalogue KEV et a fixé une date limite de correctif pour les agences fédérales américaines. Quiconque tombe sous le NIS-2 et découvre une compromission FMC est tenu de signaler au BSI dans les 24 heures. Un rapport détaillé doit suivre dans les 72 heures. Compte tenu de la fenêtre de 36 jours depuis la première exploitation, les journaux doivent être vérifiés rétrospectivement jusqu’au 26 janvier 2026.
Que faire maintenant
Les huit étapes suivantes doivent être traitées dans cet ordre. Priorisation : correctif d’abord, enquête parallèle.
1. Vérifier l’atteinte. Quelles versions FMC sont en cours d’utilisation ? Les versions 7.0.5 à 7.4.1.1 ainsi que 7.6.x, 7.7.x et 10.0.0 sont concernées. Le tableau complet des versions se trouve dans le Cisco Advisory. La version peut être lue via l’interface web FMC sous Help et About.
2. Installer le correctif. Mettre à jour vers la version 7.4.2.1 ou supérieure. Comme aucune solution de contournement n’existe, c’est la seule mesure efficace. Cisco a fourni des correctifs pour toutes les branches de versions concernées.
3. Isoler l’interface FMC. Jusqu’au correctif : limiter l’interface de gestion web du FMC à un réseau de gestion hors-bande dédié. Pas d’exposition à Internet. Accès uniquement depuis des postes de travail administrateurs autorisés.
4. Vérifier les journaux. Rechercher des requêtes HTTP inhabituelles vers l’interface web FMC, en particulier les erreurs de désérialisation Java dans les journaux d’application et le trafic non authentifié sur les ports de gestion. Les requêtes HTTP PUT vers des serveurs externes sont un fort indicateur d’une compromission réussie.
5. Charger les IoC. Charger la liste complète des indicateurs de compromission (IoC) depuis le AWS Security Blog dans le SIEM et l’EDR. Rechercher rétrospectivement à partir du 26 janvier 2026. Mettre un accent particulier sur les requêtes HTTP PUT vers des serveurs externes inconnus – c’est le mécanisme d’exfiltration confirmé.
6. Vérifier l’Accès privilégié. Si un FMC a été compromis, l’attaquant avait un accès Root à la gestion des pare-feux. Toutes les configurations de pare-feu, les identifiants et les certificats gérés via le FMC concerné doivent être traités comme potentiellement compromis. La rotation des mots de passe et le renouvellement complet des certificats sont alors obligatoires.
7. Activer le plan de réponse aux incidents. Toute compromission confirmée ou suspectée d’un FMC est un incident de gravité 1. L’attaquant avait potentiellement accès à toute l’infrastructure de pare-feux. Cela signifie : vérifier toutes les règles de pare-feu gérées pour des modifications non autorisées, valider l’intégrité des configurations de sauvegarde et vérifier la segmentation réseau. Celui qui ne dispose pas de plan de réponse aux incidents doit combler cette lacune en parallèle.
8. Vérifier Cisco Security Cloud Control. Des rapports indiquent que la plateforme cloud Cisco Security Cloud Control (SCC) pourrait également être affectée par cette vulnérabilité. Si vous utilisez SCC, contactez directement le support Cisco pour confirmer le statut du correctif.
Faits marquants
CVE-2026-20131 est le pire exploit Cisco des derniers mois. Score CVSS maximal, accès Root non authentifié, 36 jours d’exploitation active avant le correctif et aucune solution de contournement – c’est la combinaison la plus grave qu’un avis de sécurité puisse présenter.
Celui qui exploite Cisco FMC et n’a pas encore appliqué le correctif accepte un risque injustifiable – ni sur le plan technique, ni face à la direction générale, qui engage sa responsabilité personnelle sous le régime NIS-2. Le groupe Interlock a démontré qu’il exploite cette faille de façon professionnelle et à grande échelle. La combinaison de la désérialisation Java, de l’accès Root et du rôle central du FMC dans l’architecture réseau fait de chaque FMC non patché un risque de sécurité à l’échelle du réseau. Appliquer le correctif n’est pas une simple recommandation : c’est une obligation. Dès aujourd’hui.
Questions fréquentes
Mon entreprise est-elle concernée ?
Si vous utilisez Cisco Secure Firewall Management Center dans les versions 7.0.5 à 7.4.1.1, 7.6.x, 7.7.x ou 10.0.0 : oui. Le tableau complet des versions figure dans l’avis de sécurité Cisco cisco-sa-fmc-rce-NKhnULJh. Vérifiez votre version FMC via l’interface web, dans le menu Help > About.
Existe-t-il une solution de contournement en attendant le correctif ?
Non. Cisco confirme explicitement qu’aucune solution de contournement n’existe. La seule mesure efficace consiste à mettre à jour vers la version corrigée. En attendant, vous devez limiter l’interface de gestion du FMC à un réseau isolé et restreindre l’accès aux postes de travail administrateurs autorisés.
Qu’est-ce qu’Interlock ?
Interlock est un groupe de ransomware actif depuis septembre 2024 qui pratique le double extorsion : les données sont exfiltrées puis chiffrées. Le groupe intègre des références explicites au règlement général sur la protection des données (RGPD) dans ses demandes de rançon afin d’accentuer la pression sur les victimes européennes. Ses cibles confirmées comprennent des prestataires de soins de santé, des universités et des entités publiques.
D’où proviennent les indicateurs de compromission (IoC) ?
La liste la plus complète d’IoC publiquement disponible a été publiée par Amazon Threat Intelligence sur le blog AWS Security. Amazon a détecté la campagne via son réseau de honeypots MadPot et a coordonné sa divulgation avec Cisco. Ces IoC couvrent les hachages de fichiers, les adresses IP et les noms de domaine de l’infrastructure utilisée par les attaquants.
Dois-je respecter les obligations de déclaration NIS-2 ?
Si votre entreprise relève du cadre NIS-2 et que vous constatez des signes d’une compromission : oui. La déclaration initiale au BSI doit intervenir dans les 24 heures, un rapport détaillé devant suivre dans les 72 heures. Vérifiez vos journaux rétrospectivement à compter du 26 janvier 2026 – un FMC compromis peut rester indétecté pendant des semaines, voire des mois.
Lectures recommandées par la rédaction
Autres contenus du réseau MBF Media
- → NIS2 et SaaS : la faille de conformité (cloudmagazin)
- → Assurance cyber pour PME : ce qui est réellement couvert (MyBusinessFuture)
- → Gouvernance de l’IA : ce que le conseil d’administration doit savoir dès maintenant (Digital Chiefs)
Source de l’image : Pexels / Markus Winkler (px:30965500)
