Az Interlock zsarolóvírus-csoport január óta használja zero-day támadásokhoz a Cisco Secure Firewall Management Center (FMC) szoftver egy távoli kódfuttatási (RCE) sérülékenységét.

Az Interlock ransomware banda 2024 szeptemberében bukkant fel először, ám azóta több támadási módszerrel is összefüggésbe hozták, például a ClickFlix technikával és egy NodeSnake nevű távoli hozzáférésű trójai vírussal, amelyet több brit egyetem hálózatára is feltelepítettek. Az Interlock vállalta a felelősséget a DaVita, a Kettering Health, a Texas Tech University System és a minnesotai Saint Paul városa elleni támadásokért is. Az IBM X-Force nemrég arról számolt be, hogy az Interlock egy új, Slopoly névre keresztelt, feltehetően generatív MI-eszközökkel létrehozott rosszindulatú programtörzset használt a támadásaihoz.

A Cisco március 4-én javította a szóban forgó CVE-2026-20131 számon nyilvántartott sérülékenységet, amely rootként tetszőleges Java-kódok távoli futtatását teszi lehetővé az elkövetők számára. Az Amazon fenyegetésfelderítő csapata nemrég arról számolt be, hogy a szoftver javítása előtt egy hónappal az Interlock már aktívan kihasználta a sérülékenységet a vállalati tűzfalak elleni támadások során.

A Cisco nyomatékosan arra kéri minden érintett ügyfelét, hogy a lehető leghamarabb telepítsék a frissítéseket, további információkért és útmutatókért pedig tekintsék át a vonatkozó Security Advisory-t.