Das Bedrohungsanalyse-Team von Amazon machte den Vorfall öffentlich und legte zugleich offen, wie früh die Angriffe begannen. “Auf der Suche nach aktuellen oder früheren Ausnutzungen dieser Schwachstelle stellte unsere Untersuchung fest, dass Interlock die Lücke 36 Tage vor ihrer öffentlichen Bekanntgabe ausnutzte, beginnend am 26. Januar 2026”, sagte CJ Moses, CISO von Amazon Integrated Security.

Moses betonte den Vorsprung, den die Gruppe dadurch hatte: “Das war nicht nur eine weitere Schwachstellen-Ausnutzung – Interlock hatte einen Zero-Day in der Hand und damit einen Vorsprung, um Organisationen zu kompromittieren, bevor Verteidiger überhaupt wussten, wonach sie suchen mussten.”

Die betroffene Lücke trägt die Kennung CVE-2026-20131 und betrifft die Web-Oberfläche der Secure-FMC-Software. Cisco veröffentlichte am 4. März ein Sicherheitshinweis und warnte, dass nicht authentifizierte Angreifer beliebigen Java-Code aus der Ferne mit Root-Rechten auf ungepatchten Geräten ausführen könnten.

Gegenüber BleepingComputer bestätigte Cisco den Vorgang per E-Mail: “Am 4. März 2026 hat Cisco einen Sicherheitshinweis veröffentlicht, der eine Schwachstelle in der Web-Oberfläche der Cisco Secure Firewall Management Center Software offenlegt.” Das Unternehmen dankte Amazon für die Zusammenarbeit, aktualisierte seinen Sicherheitshinweis und forderte Kunden nachdrücklich auf, so schnell wie möglich zu aktualisieren.

Die Interlock-Operation trat erstmals im September 2024 auf. Sie wird mit ClickFix in Verbindung gebracht sowie mit Malware-Angriffen, bei denen die Gruppe den Remote-Access-Trojaner NodeSnake in den Netzwerken mehrerer britischer Universitäten einsetzte. Interlock hat sich zudem zu Angriffen auf DaVita, Kettering Health, das Texas Tech University System und die Stadt Saint Paul in Minnesota bekannt. Forscher von IBM X-Force berichteten kürzlich, dass die Gruppe einen neuen Schadcode namens Slopoly einsetzt, der vermutlich mithilfe generativer KI-Werkzeuge erstellt wurde.

Der Fall ist nicht der einzige dieser Art bei Cisco in diesem Jahr. Im Januar schloss das Unternehmen einen Zero-Day mit Höchstbewertung in Cisco AsyncOS, der seit November zum Einbruch in geschützte E-Mail-Appliances ausgenutzt worden war, sowie eine kritische RCE-Lücke in Unified Communications, die ebenfalls in Zero-Day-Angriffen missbraucht wurde. In diesem Monat behob Cisco eine weitere Schwachstelle mit Höchstbewertung, mit der sich die Authentifizierung von Catalyst SD-WAN umgehen ließ; Angreifer konnten so Controller kompromittieren und bösartige Peers in betroffene Netzwerke einschleusen.