Le groupe ransomware Interlock exploite activement la faille CVE-2026-20131 dans Cisco Firepower Management Center depuis le 26 janvier 2026 — soit plus d'un mois avant la publication du correctif par Cisco le 4 mars. Cette vulnérabilité de désérialisation Java non authentifiée, notée CVSS 10.0, permet l'exécution de code arbitraire en tant que root sur les appliances FMC. Interlock s'en sert comme point d'entrée initial pour déployer son ransomware sur les réseaux d'entreprise, ciblant en priorité les secteurs de la santé, de l'éducation et des collectivités locales aux États-Unis. La CISA a ajouté cette CVE à son catalogue KEV le 19 mars, imposant un correctif aux agences fédérales avant le 22 mars. Pour les organisations qui n'ont pas encore patché, le risque de compromission est maximal.

En bref

  • CVE-2026-20131 (CVSS 10.0) : désérialisation Java non authentifiée dans Cisco Firepower Management Center permettant une RCE root
  • Exploitée comme zero-day par le ransomware Interlock depuis le 26 janvier 2026, un mois avant le patch Cisco du 4 mars
  • Action requise : appliquer immédiatement la mise à jour Cisco FMC et auditer les traces de compromission

Les faits

La vulnérabilité CVE-2026-20131 réside dans le mécanisme de désérialisation des flux Java côté serveur de Cisco Firepower Management Center. Un attaquant non authentifié peut envoyer un objet Java sérialisé malveillant pour contourner l'authentification et exécuter du code arbitraire avec les privilèges root. Aucune interaction utilisateur n'est nécessaire, ce qui explique le score CVSS maximal de 10.0 attribué par Cisco. Selon les chercheurs en sécurité, le groupe Interlock a commencé à exploiter cette faille dès le 26 janvier 2026, comme le confirment les journaux d'incidents analysés par plusieurs équipes de réponse. Cisco n'a publié son correctif que le 4 mars, laissant une fenêtre d'exploitation de plus de cinq semaines.

Interlock, actif depuis septembre 2024, s'est fait connaître par des attaques contre DaVita, Kettering Health, le Texas Tech University System et la ville de Saint Paul dans le Minnesota. Le groupe utilise également des techniques ClickFix et déploie le RAT NodeSnake sur les réseaux de ses victimes. Comme l'illustre l'exploitation du zero-day Cisco SD-WAN pendant trois ans, les équipements réseau Cisco restent des cibles privilégiées pour les groupes ransomware cherchant un accès initial persistant.

Impact et exposition

Toute organisation utilisant Cisco Firepower Management Center en version non patchée est potentiellement exposée. La faille étant exploitable à distance sans authentification, la surface d'attaque est considérable. Les secteurs les plus touchés par Interlock sont la santé, l'éducation et les administrations publiques — des environnements où les cycles de mise à jour sont souvent longs. Une compromission du FMC donne à l'attaquant le contrôle total de l'infrastructure de sécurité réseau : règles de pare-feu, inspection de trafic, et visibilité sur l'ensemble du réseau. C'est un scénario comparable à la faille critique CVSS 9.8 dans Cisco IMC, mais avec un impact encore plus dévastateur car le FMC centralise la gestion de tous les pare-feu Firepower.

Recommandations

  • Appliquer immédiatement le correctif Cisco FMC — toute version antérieure au patch du 4 mars est vulnérable
  • Auditer les journaux d'accès FMC depuis janvier 2026 : rechercher des connexions HTTP/HTTPS suspectes vers les endpoints de désérialisation
  • Isoler le FMC du réseau public si le patch ne peut pas être appliqué dans l'immédiat — limiter l'accès à un VLAN de gestion dédié
  • Rechercher les indicateurs de compromission Interlock : présence de NodeSnake, connexions C2, chiffrement de fichiers

Alerte critique

CVE-2026-20131 est activement exploitée depuis plus de deux mois. Si votre Cisco FMC est exposé à Internet sans le correctif du 4 mars 2026, considérez votre infrastructure comme potentiellement compromise et lancez une investigation forensique immédiate.

Comment vérifier si mon Cisco FMC est vulnérable à CVE-2026-20131 ?

Connectez-vous à l'interface d'administration du FMC et vérifiez la version du logiciel dans System > About. Toute version antérieure au correctif publié le 4 mars 2026 est vulnérable. Consultez l'avis de sécurité Cisco SA-20260304-fmc-deser pour les numéros de version exacts. En complément, auditez les logs d'accès HTTP du FMC depuis janvier 2026 pour détecter d'éventuelles tentatives d'exploitation. La mise en place d'un programme de gestion des vulnérabilités structuré est indispensable pour éviter ce type de situation.

Pourquoi les zero-days sur les équipements réseau sont-ils si dangereux ?

Les appliances de sécurité réseau comme le FMC sont des cibles de choix car elles offrent un accès privilégié à l'ensemble de l'infrastructure. Un attaquant qui compromet le FMC peut désactiver les règles de pare-feu, créer des tunnels persistants et se déplacer latéralement sans être détecté. Comme nous l'avons vu avec la réduction du délai d'exploitation des vulnérabilités, le temps entre la découverte d'une faille et son exploitation massive se réduit drastiquement, rendant le patching réactif insuffisant.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit