Cisco-lek sinds januari gebruikt bij ransomware-aanvallen, patch kwam in maart

In dit artikel:

Een kritieke kwetsbaarheid in het Cisco Secure Firewall Management Center (FMC) — CVE-2026-20079 — wordt sinds 26 januari actief misbruikt door de Interlock-ransomwaregroep, meldt Amazon. Het lek zit in de webinterface van het FMC, het centrale beheerplatform voor Cisco-firewalls, en ontstaat door een foutief gestart systeemproces bij opstart. Met speciaal opgezette HTTP-requests kunnen aanvallers de authenticatie omzeilen, commando’s en scripts uitvoeren en uiteindelijk root-toegang verkrijgen. De fout kreeg de maximale ernstscore van 10.0.

Cisco bracht op 4 maart een patch uit; Amazon stelt dat de misbruikcampagnes al 36 dagen eerder liepen. Het NCSC waarschuwde eerder dat er snel proof-of-concept-code en grootschalig misbruik te verwachten was. Cisco heeft zijn beveiligingsbulletin bijgesteld en roept gebruikers op de update direct te installeren. Amazon publiceerde tevens Indicators of Compromise (IoC’s) om organisaties te helpen controleren op inbraken. Aanbevolen acties: patchen, logs en IoC’s doorzoeken, beheertoegang beperken en managementinterfaces zoveel mogelijk niet direct blootstellen aan internet.