CVE-2026-20131 betrifft alle ungepatchten Versionen der Cisco Secure FMC Software sowie Cisco Security Cloud Control (SCC). Letzteres ist ein Software-as-a-Service-Produkt und wird ohne Zutun der Nutzer aktualisiert; FMC-Anwender sollten dagegen umgehend auf eine korrigierte Version umsteigen. Nicht betroffen sind laut Cisco die Secure Firewall Adaptive Security Appliance (ASA) Software und die Secure Firewall Threat Defense (FTD) Software. Zur Einschätzung der eigenen Gefährdung verweist der Hersteller auf den Cisco Software Checker.
Die Details zur Kampagne stammen aus einem Blogbeitrag von CJ Moses, Chief Information Security Officer von Amazon Integrated Security, der am 18. März erschien. Nach Ciscos Veröffentlichung kamen Amazons Forscher zu dem Schluss, dass Interlock die Schwachstelle bereits ab dem 26. Januar ausnutzte. Bei den Untersuchungen, zu denen auch der Einsatz von Honeypots zählte, stieß Amazon auf einen falsch konfigurierten Infrastrukturserver, der laut Moses “das vollständige operative Werkzeugset von Interlock offenlegte”.
Dieser Fehler verschaffte den Sicherheitsteams Einblick in die mehrstufige Angriffskette der Gruppe, ihre maßgeschneiderten Fernzugriffstrojaner, Erkundungsskripte zur Kartierung von Opfernetzwerken sowie ihre Verschleierungstechniken. Nach dem Erstzugriff über die Firewall-Lücke setzt Interlock unter anderem ein PowerShell-Skript ein, um die Windows-Umgebung zu erfassen und grundlegende Daten zu sammeln, bevor die abgegriffenen Informationen jedes kompromittierten Rechners auf Angreiferseite in einem Verzeichnis abgelegt werden.
Anschließend bringt der Akteur einen Fernzugriffstrojaner (RAT) für die vollständige Kontrolle über das Gerät zum Einsatz und baut eine Command-and-Control-Verbindung auf. Amazon beobachtete den Versuch, JavaScript- und Java-basierte Backdoors einzubinden – damit, so Moses, der Zugang erhalten bleibt, “selbst wenn Verteidiger eine Variante entdecken”. Zum weiteren Werkzeugkasten gehörten ein als BASH-Skript umgesetztes Relay-Netzwerk zur Verschleierung des tatsächlichen Standorts, eine speicherresidente, vor Virenschutz verborgene Backdoor, Werkzeuge zur Verbindungsprüfung sowie der Einsatz legitimer Fernzugriffstools als zusätzlicher Wiedereinstieg.
Die eigentliche Gefahr sieht Moses weniger in der Werkzeugausstattung als in deren Kombination mit dem Besitz eines kritischen Zero-Days. “Wenn Angreifer Schwachstellen ausnutzen, bevor es Patches gibt, kann selbst das sorgfältigste Patch-Programm in diesem kritischen Zeitfenster nicht schützen”, schrieb er und plädierte für gestaffelte Sicherheitsmaßnahmen nach dem Prinzip der Verteidigung in der Tiefe. Amazons Blogbeitrag enthält zudem Kompromittierungsindikatoren und Empfehlungen zur Erkennung.
Kritische Schwachstellen bei Firewall-Herstellern wie Cisco, Ivanti, SonicWall und Fortinet sind keine Seltenheit. Laut dem Bericht “H1 2025 Malware and Vulnerability Trends” von Recorded Future entfielen 17 Prozent der von Angreifern im ersten Halbjahr ausgenutzten Schwachstellen auf Edge- und Gateway-Geräte wie Firewalls und VPNs. Vincenzo Iozzo, CEO und Mitgründer des Identitätsanbieters SlashID, nennt gegenüber Dark Reading mehrere Gründe: Firewalls seien zum Internet hin exponiert und damit leicht erreichbar, ihre proprietäre Software sei historisch “von Schwachstellen durchsetzt” und arm an Erkennungsfunktionen, zudem eigneten sie sich als Sprungbrett für seitliche Bewegungen im Netzwerk. Jeff Liford, Associate Director bei Fenix24, berichtet, dass bei der Vorfallsbearbeitung im Jahr 2025 kompromittierte Firewalls in einer erheblichen Zahl von Ransomware-Fällen der Ausgangspunkt waren; die oft geschäftskritischen Geräte seien zugleich mitunter schlecht gewartet. Cisco reagierte nicht auf eine Anfrage von Dark Reading.
