文章总结： Interlock勒索软件团伙自2026年1月起利用思科防火墙管理中心零日漏洞CVE-2026-20131实施root级远程代码执行攻击，在公开披露前36天已开始利用，并结合AI生成恶意软件入侵。鉴于思科近期频发零日在野利用事件，建议企业立即排查并更新相关设备补丁，强化边界防护与异常行为监控。 综合评分： 78 文章分类： 漏洞预警,威胁情报,安全大事件,恶意软件,AI安全

自2026年1月以来，勒索软件团伙利用思科漏洞发起零日攻击

Rhinoer Rhinoer

犀牛安全

2026年4月18日 00:00 北京

在小说阅读器读本章

去阅读

自 1 月下旬以来，Interlock 勒索软件团伙一直在利用思科安全防火墙管理中心 (FMC) 软件中最高级别的远程代码执行 (RCE) 漏洞进行零日攻击。

Interlock勒索软件行动 于 2024 年 9 月出现，与 ClickFix和恶意软件攻击有关，他们在多所英国大学的网络上部署了名为 NodeSnake 的远程访问木马。

Interlock 还声称对DaVita、Kettering Health、德克萨斯理工大学系统以及明尼苏达州圣保罗市的网络攻击负责。最近，IBM X-Force 的研究人员报告称，Interlock 的运营者部署了一种名为 Slopoly 的新型恶意软件，该恶意软件很可能是使用生成式人工智能工具创建的。

思科于 3 月 4 日修复了该安全漏洞(CVE-2026-20131)，并警告称，该漏洞可能允许未经身份验证的攻击者在未打补丁的设备上以 root 身份远程执行任意 Java 代码。

亚马逊威胁情报团队周三报告称，Interlock 勒索软件攻击利用 Secure FMC 漏洞攻击企业防火墙长达一个多月，直到该漏洞被修复。

亚马逊集成安全首席信息安全官 CJ Moses 表示：在寻找任何当前或过去利用此漏洞的行为时，我们的研究发现，Interlock 在公开披露此漏洞前 36 天就开始利用它，从 2026 年 1 月 26 日开始。

这不仅仅是又一次漏洞利用，Interlock 掌握了一个零日漏洞，这让他们在防御者甚至还没意识到需要检查之前，就抢先一周时间攻破了组织机构。

自年初以来，思科已修复了多个其他已被恶意利用为零日漏洞的安全漏洞。例如，1 月份，思科修复了一个严重级别的 Cisco AsyncOS 零日漏洞，该漏洞自去年 11 月以来一直被用于入侵安全电子邮件设备；此外，思科还修补了一个关键的统一通信远程代码执行 (RCE)漏洞，该漏洞也曾被用于零日攻击。

上个月，思科解决了另一个最高级别的漏洞，该漏洞被滥用为零日漏洞，绕过 Catalyst SD-WAN 身份验证，使攻击者能够入侵控制器并将恶意流氓对等体添加到目标网络中。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《自2026年1月以来，勒索软件团伙利用思科漏洞发起零日攻击》