Sei settimane di vantaggio sul ransomware: il colpo di fortuna di AWS sul RaaS Interlock

La vulnerabilità di Cisco Secure Firewall Management Center, monitorata con il codice CVE-2026-20131, è stata sfruttata come zero-day dal gruppo Interlock per ottenere accesso root e distribuire ransomware. La scoperta arriva da un colpo di fortuna dell'Amazon Threat Intelligence, che è riuscita ad infiltrarsi all'interno di un server mal configurato di Interlok, mostrando come gli attaccanti avessero utilizzato tecniche avanzate di evasione e persistenza, colpendo i settori critici.

La console di amministrazione di Cisco, tramite la quale molte aziende gestiscono i propri firewall, si è rivelata un comodo punto di ingresso per gli attacchi ransomware. AWS Security ha segnalato che la cyber gang Interlock stava sfruttando la vulnerabilità critica CVE-2026-20131 nel Cisco Secure Firewall Management Center dal 26 gennaio 2026, e Cisco aveva reso pubblico il problema solo il 4 marzo.

I difensori si sono trovati di fronte ad un esempio preoccupante di vulnerabilità zero-day: gli aggressori stavano già prendendo di mira le aziende ma non è ancora stata rilasciata una patch.

Stiamo parlando del CVE-2026-20131, il quale ha ricevuto il punteggio massimo pari a 10.0, nel sistema di valutazione CVSS (Common Vulnerability Scoring System). La vulnerabilità risiedeva nell’interfaccia web del Firewall Management Center (FMC) e riguarda la deserializzazione non sicura di un flusso Java fornito dall’utente.

Cisco e il National Vulnerability Database (NVD) hanno descritto il bug in questo modo: un utente malintenzionato esterno non autorizzato può inviare un oggetto serializzato appositamente creato ad eseguire codice Java arbitrario sul dispositivo e ottenere i privilegi root. Se l’interfaccia di gestione non è esposta a Internet, la superficie di attacco si riduce, ma il problema persiste.

Il gruppo di Threat Intelligence di Amazon ha avuto, durante le indagini, un raro colpo di fortuna: uno dei server Interlock era configurato in modo errato, rivelando quasi l’intero set di strumenti utilizzati dal gruppo. I ricercatori hanno quindi scoperto una catena di attacco suddivisa in più fasi, che includeva script di ricognizione, file ELF (Executable and Linkable Format) dannosi (eseguibili Linux), trojan di accesso remoto personalizzati in JavaScript e Java e una web shell residente in memoria che viene eseguita in memoria che non faceva uso di scrittura su disco.

Questa combinazione suggerisce non attacchi criminali caotici, ma bensì un’operazione oliata con canali di accesso e di backup e una grande preparazione per una persistenza a lungo termine all’interno della rete.

Interlock mirava non solo a penetrare all’interno delle reti, ma a confondere le indagini. Secondo Amazon, gli aggressori hanno implementato degli specifici nodi Linux intermedi con HAProxy per nascondere tutta la provenienza del traffico e hanno troncato i log ogni cinque minuti.

Amazon ha riportato anche i settori più colpiti da questa campagna come obiettivi principali: istruzione, ingegneria, costruzioni, produzione, sanità e settore pubblico. Il 19 marzo 2026, il CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti D’America ha aggiunto la vulnerabilità CVE-2026-20131 al database delle vulnerabilità note sfruttate (KEV).

Una mossa che in genere significa una cosa sola: le patch non possono e non devono essere ritardate, nemmeno di pochi giorni.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance