Cve-2026-20131

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

A Amazon Threat Intelligence alertou sobre uma campanha ativa de ransomware chamada Interlock, que está explorando uma falha crítica de segurança no Cisco Secure Firewall Management Center (FMC) Software, identificada como CVE-2026-20131, com uma pontuação CVSS de 10.0. Essa vulnerabilidade permite que atacantes remotos não autenticados contornem a autenticação e executem código Java arbitrário como root em dispositivos afetados. A falha foi explorada como um zero-day desde 26 de janeiro de 2026, antes de ser divulgada publicamente pela Cisco. A campanha de Interlock utiliza uma cadeia de ataque complexa, que inclui scripts de reconhecimento em PowerShell, trojans de acesso remoto personalizados e técnicas de evasão. A Amazon compartilhou suas descobertas com a Cisco para ajudar a proteger os clientes. Diante da exploração ativa da falha, os usuários são aconselhados a aplicar patches imediatamente e realizar avaliações de segurança. A Cisco atualizou seu aviso sobre a vulnerabilidade, recomendando a atualização para uma versão corrigida do software.