La vulnerabilità di Cisco Secure Firewall Management Center, monitorata con il codice CVE-2026-20131, è stata sfruttata come zero-day dal gruppo Interlock per ottenere accesso root e distribuire ransomware. La scoperta arriva da un colpo di fortuna dell'Amazon Threat Intelligence, che è riuscita ad infiltrarsi all'interno di un server mal configurato di Interlok, mostrando come gli attaccanti avessero utilizzato tecniche avanzate di evasione e persistenza, colpendo i settori critici.
La console di amministrazione di Cisco, tramite la quale molte aziende gestiscono i propri firewall, si è rivelata un comodo punto di ingresso per gli attacchi ransomware. AWS Security ha segnalato che la cyber gang Interlock stava sfruttando la vulnerabilità critica CVE-2026-20131 nel Cisco Secure Firewall Management Center dal 26 gennaio 2026, e Cisco aveva reso pubblico il problema solo il 4 marzo.
I difensori si sono trovati di fronte ad un esempio preoccupante di vulnerabilità zero-day: gli aggressori stavano già prendendo di mira le aziende ma non è ancora stata rilasciata una patch.
Stiamo parlando del CVE-2026-20131, il quale ha ricevuto il punteggio massimo pari a 10.0, nel sistema di valutazione CVSS (Common Vulnerability Scoring System). La vulnerabilità risiedeva nell’interfaccia web del Firewall Management Center (FMC) e riguarda la deserializzazione non sicura di un flusso Java fornito dall’utente.
Advertising
Cisco e il National Vulnerability Database (NVD) hanno descritto il bug in questo modo: un utente malintenzionato esterno non autorizzato può inviare un oggetto serializzato appositamente creato ad eseguire codice Java arbitrario sul dispositivo e ottenere i privilegi root. Se l’interfaccia di gestione non è esposta a Internet, la superficie di attacco si riduce, ma il problema persiste.
Il gruppo di Threat Intelligence di Amazon ha avuto, durante le indagini, un raro colpo di fortuna: uno dei server Interlock era configurato in modo errato, rivelando quasi l’intero set di strumenti utilizzati dal gruppo. I ricercatori hanno quindi scoperto una catena di attacco suddivisa in più fasi, che includeva script di ricognizione, file ELF (Executable and Linkable Format) dannosi (eseguibili Linux), trojan di accesso remoto personalizzati in JavaScript e Java e una web shell residente in memoria che viene eseguita in memoria che non faceva uso di scrittura su disco.
Questa combinazione suggerisce non attacchi criminali caotici, ma bensì un’operazione oliata con canali di accesso e di backup e una grande preparazione per una persistenza a lungo termine all’interno della rete.
Interlock mirava non solo a penetrare all’interno delle reti, ma a confondere le indagini. Secondo Amazon, gli aggressori hanno implementato degli specifici nodi Linux intermedi con HAProxy per nascondere tutta la provenienza del traffico e hanno troncato i log ogni cinque minuti.
Amazon ha riportato anche i settori più colpiti da questa campagna come obiettivi principali: istruzione, ingegneria, costruzioni, produzione, sanità e settore pubblico. Il 19 marzo 2026, il CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti D’America ha aggiunto la vulnerabilità CVE-2026-20131 al database delle vulnerabilità note sfruttate (KEV).
Advertising
Una mossa che in genere significa una cosa sola: le patch non possono e non devono essere ritardate, nemmeno di pochi giorni.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.
Aree di competenza:Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.