Een kritieke kwetsbaarheid in het Cisco Secure Firewall Management Center (FMC) is sinds januari gebruikt bij ransomware-aanvallen, aldus Amazon. Cisco kwam op 4 maart met een beveiligingsupdate voor het probleem. Via het Firewall Management Center kunnen organisaties hun Cisco-firewalls beheren. Cisco noemt het zelf het "administratieve zenuwcentrum" voor het beheer van netwerkbeveiligingsapparatuur.

De kwetsbaarheid is aanwezig in de webinterface van het FMC. Volgens Cisco wordt het probleem veroorzaakt door een "onjuist systeemproces" dat tijdens het opstarten wordt gestart. Een aanvaller kan misbruik van dit proces maken door speciaal geprepareerde HTTP requests naar het systeem te sturen. Vervolgens kan een aanvaller de authenticatie omzeilen en scripts en commando's op het systeem uitvoeren, om zo root-toegang tot het onderliggende besturingssysteem te krijgen.

De impact van het beveiligingslek (CVE-2026-20079) is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Toen het beveiligingsbulletin van Cisco verscheen waarschuwde het Nationaal Cyber Security Centrum (NCSC) dat het op korte termijn publieke proof-of-concept exploitcode en grootschalige pogingen tot misbruik verwachtte. Nu meldt Amazon dat de criminelen achter de Interlock-ransomware de kwetsbaarheid al sinds 26 januari bij aanvallen hebben ingezet, 36 dagen voordat Cisco met een patch kwam.

Cisco heeft inmiddels het bulletin aangepast en meldt dat het deze maand ontdekte dat aanvallers het lek misbruiken. Organisaties die van FMC gebruikmaken worden opgeroepen de beschikbaar gestelde patch zo snel mogelijk te installeren. De Interlock-groep wordt verantwoordelijk gehouden voor verschillende impactvolle ransomware-aanvallen, waaronder op Amerikaanse ziekenhuizen. Amazon heeft ook Indicators of Compromise gedeeld waarmee organisaties kunnen kijken of hun omgeving is gecompromitteerd.