Interlock exploitait CVE-2026-20131 en zero-day depuis janvier

CVE-2026-20131 : RCE root non authentifiee sur Cisco Secure FMC

Le 18 mars 2026, l'equipe Amazon Threat Intelligence a revele que le gang Interlock exploitait la vulnerabilite CVE-2026-20131 dans le Cisco Secure Firewall Management Center (FMC) depuis le 26 janvier, soit 36 jours avant la publication du patch par Cisco le 4 mars.

Cette vulnerabilite, classee au score de severite maximum, permet l'execution de code Java arbitraire en tant que root sur l'interface web du FMC, sans authentification prealable. Le FMC est le plan de controle centralise des pare-feu Cisco Secure Firewall, ce qui en fait une cible de choix pour un acces lateral massif au reseau.

Profil du groupe Interlock

Interlock est un operateur de ransomware actif depuis septembre 2024. Le groupe s'est distingue par l'utilisation de techniques ClickFix (ingenierie sociale via de faux outils IT) et par le deploiement de NodeSnake, un RAT (Remote Access Trojan, cheval de Troie d'acces a distance) identifie sur les reseaux de plusieurs universites britanniques.

Parmi les victimes revendiquees par Interlock figurent DaVita (27 millions de personnes impactees), Kettering Health, le Texas Tech University System (1,4 million de patients), et la ville de Saint Paul dans le Minnesota.

Plus recemment, IBM X-Force a documente l'utilisation par Interlock d'un nouveau malware baptise Slopoly, probablement genere a l'aide d'outils d'IA generative.

Chronologie de l'exploitation zero-day

Le 26 janvier 2026, Amazon Threat Intelligence a repere les premieres traces d'exploitation de CVE-2026-20131 par Interlock ciblant des pare-feu d'entreprise.

Le 4 mars 2026, Cisco a publie son advisory de securite cisco-sa-fmc-rce-NKhnULJh et le correctif associe.

Le 18 mars 2026, Amazon a publie son rapport detaillant l'exploitation zero-day, et Cisco a mis a jour son advisory avec ces nouvelles informations.

CJ Moses, CISO d'Amazon Integrated Security, a qualifie la situation en ces termes : ce n'etait pas une simple exploitation de vulnerabilite, Interlock disposait d'un zero-day qui leur donnait une semaine d'avance pour compromettre des organisations avant meme que les defenseurs sachent ou regarder. Le delai reel etait en fait de 36 jours.

Contexte : cascade de zero-days Cisco en 2026

CVE-2026-20131 s'inscrit dans une serie de vulnerabilites critiques Cisco exploitees en zero-day depuis le debut de l'annee.

En janvier, Cisco a corrige un zero-day de severite maximale sur AsyncOS, exploite depuis novembre 2025 pour compromettre des appliances de messagerie securisee. Un autre zero-day critique sur Cisco Unified Communications permettant l'execution de code a distance a egalement ete patche.

En fevrier, une faille de severite maximale sur Catalyst SD-WAN permettait de contourner l'authentification des controleurs et d'ajouter des pairs malveillants au reseau. Cette vulnerabilite etait exploitee en zero-day depuis 2023.

Impact technique et recommandations

La compromission du FMC donne a un attaquant un acces root au plan de gestion de l'ensemble des pare-feu d'une organisation. A partir de cette position, il peut modifier les regles de filtrage, desactiver la detection d'intrusion, creer des tunnels persistants et pivoter vers le reseau interne.

Pour les organisations utilisant Cisco Secure FMC, la mise a jour vers la version corrective publiee le 4 mars est critique. Il est egalement recommande de verifier les journaux d'acces a l'interface web du FMC pour la periode du 26 janvier au 4 mars a la recherche d'activites suspectes, d'auditer les regles de pare-feu pour detecter des modifications non autorisees, de segmenter l'acces au plan de gestion FMC hors du reseau general, et de deployer une surveillance renforcee sur les indicateurs de compromission lies a Interlock.

Cisco a confirme la situation et recommande une mise a jour immediate en reference a son advisory de securite.

Sources : Amazon Web Services Security Blog (aws.amazon.com/blogs/security), Cisco Security Advisory cisco-sa-fmc-rce-NKhnULJh, BleepingComputer, IBM X-Force