Агентство по кибербезопасности и защите инфраструктуры (CISA) предписало федеральным ведомствам устранить уязвимость максимальной степени критичности CVE-2026-20131 в Cisco Secure Firewall Management Center (FMC) к воскресенью, 22 марта.
Компания Cisco опубликовала бюллетень по безопасности об этой уязвимости 4 марта, настоятельно призывая системных администраторов как можно скорее установить обновления безопасности и предупреждая об отсутствии обходных путей.
Cisco Secure Firewall Management Center (FMC) — это централизованная система администрирования для критически важных устройств сетевой безопасности Cisco, таких как межсетевые экраны, системы контроля приложений, предотвращения вторжений, фильтрации URL-адресов и защиты от вредоносного ПО.
«Уязвимость в веб-интерфейсе управления программного обеспечения Cisco Secure Firewall Management Center (FMC) может позволить неаутентифицированному удаленному злоумышленнику выполнить произвольный код Java с правами root на скомпрометированном устройстве», — говорится в рекомендации Cisco.
Проблема вызвана небезопасной десериализацией потока байтов Java, предоставленного пользователем, и может быть использована путем отправки специально сформированного сериализованного объекта Java в веб-интерфейс управления уязвимого устройства.
18 марта поставщик обновил свой бюллетень, предупредив об активном использовании CVE-2026-20131 в реальных атаках. Исследователи угроз из Amazon подтвердили, что злоумышленники используют эту уязвимость в атаках, отметив, что группировка, стоящая за вымогательским ПО Interlock, эксплуатировала ее как уязвимость нулевого дня с конца января.
Amazon заявила, что злоумышленник, использующий вымогательское ПО, эксплуатировал CVE-2026-20131 более чем за месяц до того, как поставщик выпустил исправление.
Вымогательское ПО Interlock с момента своего появления в конце 2024 года стало причиной атак на ряд известных организаций, включая DaVita, Kettering Health, Систему Техасского технологического университета и город Сент-Пол, штат Миннесота.
Злоумышленник также использует технику ClickFix для первоначального доступа, а также пользовательские трояны удаленного доступа и штаммы вредоносного ПО, такие как NodeSnake и Slopoly.
CISA добавило CVE-2026-20131 в свой каталог известных эксплуатируемых уязвимостей (KEV), отметив, что она «известна использованием в кампаниях по распространению программ-вымогателей».
Учитывая критичность CVE-2026-20131 и факт ее активной эксплуатации с конца января 2026 года, CISA предоставило федеральным гражданским исполнительным органам (FCEB) срок до этого воскресенья для установки обновлений безопасности или прекращения использования продукта.
Срок, установленный CISA, применим ко всем организациям, подпадающим под действие Обязательного оперативного директивы (BOD) 22-01, однако частным фирмам, органам власти штатов/местного самоуправления и всем организациям, не входящим в FCEB, по-прежнему рекомендуется принять это во внимание и действовать соответствующим образом.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
