Amazon警告:Interlock勒索軟體正在發起網路攻擊,利用Cisco安全防火牆管理中心 (Cisco Secure Firewall Management Center , FMC)近期披露一個嚴重安全漏洞。此漏洞編號為CVE-2026-20131(CVSS評分:10.0),涉及對使用者提供的Java位元組流進行不安全的反序列化。未經身份驗證的遠端駭客可以利用此漏洞繞過身份驗證,並在受影響的裝置上以root權限執行任意Java程式碼。
根據AmazonMadPot全球感測器網路收集的資料,該安全漏洞自2026年1月26日起就被用作零時差漏洞進行攻擊,比Cisco公開披露的時間早了一個多月。這並非普通的漏洞利用;Interlock掌握一個零時差漏洞,讓防御者還沒反應前,就搶先一周時間攻破企業系統。發現這一漏洞後,Amazon資訊安全官 (CISO) CJ Moses立即與Cisco分享調查結果,以協助調查並保護客戶。此次發現得益於駭客在運維安全方面的失誤,駭客透過配置錯誤的底層伺服器暴露了其網路犯罪組織的攻擊工具包,從而得以深入了解其多階段攻擊鏈、定制的遠端存取木馬、偵查腳本和規避技術。
攻擊鏈包括向受影響軟體中的特定路徑發送精心建構的HTTP 請求,執行任意Java程式碼,受感染的系統會向外部伺服器發出 HTTP PUT請求,以確認攻擊成功。一旦此步驟完成,就會發送命令從遠端伺服器取得ELF二進位檔,該伺服器託管著與Interlock相關的其他工具。
已識別的工具清單如下:
與Interlock的關聯源自於一系列趨同的技術和操作指標,包括嵌入式勒索信和TOR談判門戶。證據表明,駭客很可能在UTC+3時區活動。鑑於漏洞已被積極利用,建議用戶盡快應用補丁,進行安全評估以識別潛在的入侵點,檢查ScreenConnect部署是否存在未經授權的安裝,並實施縱深防禦策略。
Moses:真正的問題不僅僅在於一個漏洞或一個勒索軟體組織,關乎零時差漏洞對所有安全模型構成的根本挑戰,當駭客在修補發布之前利用漏洞時,即使是最勤勉的修補程式也無法在關鍵時刻得到保護。這正是縱深防禦至關重要的原因,多層安全控制措施能夠在任何單一控制措施失效或尚未部署時提供保護。快速修補仍然是漏洞管理的基礎,但縱深防禦能夠幫助組織在漏洞利用和修補之間的窗口期內避免毫無防備。
Google披露,由於勒索軟體支付率下降,駭客正在改變策略,轉而利用常見VPN和防火牆中的漏洞進行初始存取,並且減少對外部工具的依賴,更多地利用Windows內建功能。多個威脅集群,包括勒索軟體運營商和初始存取代理,都被發現使用惡意廣告和/或搜尋引擎優化 (Search Engine Optimization, SEO) 策略來派送惡意軟體有效載荷,從而實現初始存取。其他常見的技術包括使用被盜憑證、後門或合法的遠端桌面軟體來建立立足點,以及利用內建的已安裝工具進行偵查、權限提升和橫向移動。
Google:雖然勒索軟體仍將是全球最主要的威脅之一,但利潤的減少可能會導致一些駭客尋求其他盈利方式。這表現在資料竊取勒索行為的增加、使用更激進的勒索策略,或者伺機利用對受害者環境的存查權限進行其他盈利活動,例如利用被入侵的基礎設施發送網路釣魚資訊。
註1:網路 Beacon(信標):主要分為兩種形式:一為潛伏在網頁或郵件中透明的1x1像素圖片(Web Beacon/Web Bug),用於追蹤使用者行為、分析網站流量;二為低功耗藍牙(BLE)實體感應器,透過發送訊號供手機定位、推播訊息,廣泛應用於室內導航與精準行銷。
本文參考自:https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html