Die Schwachstelle steckt in der webbasierten Verwaltungsoberfläche von Cisco Secure Firewall Management Center. Laut Ciscos Sicherheitshinweis kann ein nicht authentifizierter, entfernter Angreifer dadurch beliebigen Java-Code mit Root-Rechten auf einem betroffenen Gerät ausführen.
Ursache ist eine unsichere Deserialisierung eines vom Nutzer übermittelten Java-Bytestroms. Ausnutzbar wird die Lücke, indem ein speziell präpariertes serialisiertes Java-Objekt an die webbasierte Verwaltungsoberfläche eines betroffenen Geräts gesendet wird.
Am 18. März aktualisierte der Hersteller seine Meldung und warnte vor einer aktiven Ausnutzung von CVE-2026-20131. Bedrohungsforscher von Amazon bestätigten, dass Angreifer die Schwachstelle in Attacken einsetzen, und stellten fest, dass die Interlock-Ransomware-Gruppe sie seit Ende Januar als Zero-Day ausnutzte. Nach Angaben von Amazon nutzte die Gruppe die Lücke mehr als einen Monat aus, bevor der Hersteller den Patch veröffentlichte.
Interlock hat seit dem Start Ende 2024 mehrere prominente Opfer für sich reklamiert, darunter DaVita, Kettering Health, das Texas Tech University System und die Stadt Saint Paul in Minnesota. Für den Erstzugang setzt die Gruppe unter anderem auf die ClickFix-Technik sowie auf eigene Remote-Access-Trojaner und Schadsoftware-Varianten wie NodeSnake und Slopoly.
CISA hat CVE-2026-20131 in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen und dort als “bekanntermaßen in Ransomware-Kampagnen verwendet” gekennzeichnet. Angesichts des Schweregrads und der seit Ende Januar 2026 laufenden aktiven Ausnutzung gewährte die Behörde den zivilen Bundesbehörden (Federal Civilian Executive Branch, FCEB) nur bis Sonntag Zeit, um die Updates einzuspielen oder die Nutzung des Produkts einzustellen.
Die Frist gilt verbindlich für alle Stellen, die der Binding Operational Directive (BOD) 22-01 unterliegen. Privaten Unternehmen, Bundesstaaten und Kommunen sowie allen übrigen Organisationen außerhalb des FCEB empfiehlt CISA, die Vorgabe ebenfalls zu berücksichtigen und entsprechend zu handeln.
