💀 Ransomware

Zero-Day в Cisco FMC: Interlock Ransomware атакує корпоративні мережі

📅 19 березня 2026 ·🕐 08:57 · 🔐 securityweek.com · 📖 ~3 хв читання

Дослідники кібербезпеки виявили активну експлуатацію критичної вразливості в програмному забезпеченні Cisco Firepower Management Center (FMC) як zero-day. Ця вразливість використовується угрупованням Interlock Ransomware для компрометації корпоративних мереж, причому перші випадки атак датуються кінцем січня.

Експлуатація критичних вразливостей мережевого обладнання є одним з найнебезпечніших векторів атак, особливо коли за ними стоять спонсоровані державою групи або групи, що діють в їхніх інтересах.

Що сталось

Команда безпеки Amazon виявила докази активної експлуатації раніше невідомої вразливості в програмному забезпеченні Cisco Firepower Management Center (FMC). Ця вразливість, що класифікується як zero-day, була використана угрупованням Interlock Ransomware для проникнення в корпоративні мережі. Згідно з наявними даними, атаки з використанням цієї вразливості розпочалися ще наприкінці січня поточного року. Важливо зазначити, що дослідники також виявили зв'язки цього угруповання з Росією, що підкреслює підвищений ризик для українських організацій.

Технічні деталі

Cisco Firepower Management Center (FMC) є централізованою платформою для управління мережевими пристроями безпеки Cisco Firepower, включно з міжмережевими екранами (фаєрволами) нового покоління. Експлуатація zero-day вразливості означає, що зловмисники використали недолік у програмному забезпеченні до того, як розробник випустив патч або навіть дізнався про його існування. У випадку Interlock Ransomware, це дозволило їм обійти захист і отримати початковий доступ до внутрішніх мереж підприємств. Деталі самої вразливості, такі як її тип (наприклад, віддалене виконання коду, обхід автентифікації), наразі не розголошуються публічно, але її використання для отримання доступу до корпоративних мереж свідчить про її критичний характер.

Кому загрожує

Ця загроза є особливо актуальною для будь-яких організацій, які використовують програмне забезпечення Cisco Firepower Management Center (FMC) для управління своїми мережевими екранами. Оскільки Interlock Ransomware націлена на компрометацію корпоративних мереж, під загрозою опиняються:

Великі та середні підприємства.
Урядові установи.
Критична інфраструктура.
Будь-які організації, що мають цінні дані або критичні операції, які можуть бути порушені атаками ransomware.

Враховуючи зв'язки угруповання з Росією, українські організації, що використовують зазначене обладнання, повинні бути особливо пильними та негайно вжити заходів для перевірки своїх систем на предмет компрометації та застосування оновлень безпеки.

Рекомендації

Для мінімізації ризиків та захисту від подібних атак, Cyber Index UA рекомендує наступні кроки:

Негайне оновлення: Слідкуйте за офіційними повідомленнями Cisco щодо випуску патчів для усунення цієї вразливості та негайно застосовуйте їх, як тільки вони стануть доступними.
Моніторинг мережі: Посильте моніторинг мережевого трафіку та журналів подій на пристроях Cisco FMC та пов'язаних системах на предмет незвичайної активності або ознак компрометації.
Сегментація мережі: Застосовуйте принципи сегментації мережі, щоб обмежити поширення потенційної атаки у випадку успішного проникнення.
Резервне копіювання: Регулярно створюйте та перевіряйте резервні копії критично важливих даних, зберігаючи їх офлайн або в ізольованих сховищах.
План реагування на інциденти: Переконайтеся, що ваш план реагування на інциденти кібербезпеки оновлений та протестований, особливо щодо атак ransomware.
Обмеження доступу: Застосовуйте принцип найменших привілеїв для доступу до систем управління, таких як FMC.

🔗 Джерело: SecurityWeek →