Die Schwachstelle CVE-2026-20131 betrifft Ciscos Secure Firewall Management Center (FMC) Software. Ursache ist eine unsichere Deserialisierung eines vom Nutzer gelieferten Java-Byte-Stroms, die einem nicht authentifizierten, entfernten Angreifer erlaubt, die Authentifizierung zu umgehen und beliebigen Java-Code mit Root-Rechten auszuführen. Der CVSS-Wert liegt bei 10.0.

Laut Amazon Threat Intelligence wurde die Lücke bereits seit dem 26. Januar 2026 als Zero-Day ausgenutzt — mehr als einen Monat vor der öffentlichen Offenlegung durch Cisco. Die Hinweise stammen aus dem globalen Sensornetzwerk MadPot des Konzerns. “Das war nicht einfach nur ein weiterer Schwachstellen-Exploit; Interlock hatte einen Zero-Day in der Hand und damit eine Woche Vorsprung, um Organisationen zu kompromittieren, bevor die Verteidiger überhaupt wussten, wonach sie suchen mussten”, sagte CJ Moses, CISO von Amazon Integrated Security, in einem Bericht, der The Hacker News vorlag. Amazon teilte seine Erkenntnisse mit Cisco, um dessen Untersuchung zu unterstützen.

Möglich wurde die Aufdeckung durch einen Fehler in der operativen Sicherheit der Täter: Über einen falsch konfigurierten Infrastruktur-Server legten sie das Werkzeugarsenal ihrer Gruppe offen. Das gab Einblick in die mehrstufige Angriffskette, maßgeschneiderte Fernzugriffstrojaner, Aufklärungsskripte und Verschleierungstechniken.

Der Angriff beginnt mit präparierten HTTP-Anfragen an einen bestimmten Pfad der betroffenen Software, um beliebigen Java-Code auszuführen. Anschließend bestätigt das kompromittierte System die erfolgreiche Ausnutzung über eine HTTP-PUT-Anfrage an einen externen Server. Danach werden Befehle abgesetzt, um eine ELF-Binärdatei von einem entfernten Server nachzuladen, auf dem weitere mit Interlock verknüpfte Werkzeuge liegen.

Die Zuordnung zu Interlock stützt sich auf übereinstimmende technische und operative Indikatoren, darunter die eingebettete Lösegeldforderung und ein TOR-Verhandlungsportal. Hinweise deuten darauf hin, dass die Täter wahrscheinlich in der Zeitzone UTC+3 aktiv sind.

Angesichts der aktiven Ausnutzung rät Amazon, Patches so schnell wie möglich einzuspielen, Sicherheitsbewertungen zur Erkennung möglicher Kompromittierungen durchzuführen, ScreenConnect-Installationen auf unautorisierte Einrichtungen zu prüfen und mehrschichtige Verteidigungsstrategien umzusetzen. Moses betonte, dass schnelles Patchen zwar grundlegend bleibe, aber im Zeitfenster zwischen Exploit und Patch nicht schütze — gestaffelte Sicherheitskontrollen sollen greifen, wenn eine einzelne Maßnahme versagt oder noch nicht ausgerollt ist.

Parallel berichtet Google, dass Ransomware-Akteure angesichts sinkender Zahlungsraten ihre Taktiken ändern: Sie nehmen für den Erstzugriff Schwachstellen in verbreiteten VPNs und Firewalls ins Visier und setzen weniger auf externe Werkzeuge, dafür stärker auf bordeigene Windows-Funktionen. Mehrere Cluster — sowohl Ransomware-Betreiber als auch Initial Access Broker — nutzen demnach Malvertising und Suchmaschinenoptimierung zur Verbreitung von Schadsoftware, daneben kompromittierte Zugangsdaten, Backdoors und legitime Fernwartungssoftware. Google erwartet, dass sinkende Gewinne manche Täter zu anderen Monetarisierungsformen treiben, etwa verstärkter Erpressung durch Datendiebstahl oder dem Versand von Phishing-Nachrichten über kompromittierte Infrastruktur.