Zero-Day-Lücke in Cisco-Firewall: Interlock-Ransomware nutzte Schwachstelle 36 Tage vor Bekanntgabe aus

Amazon Threat Intelligence hat eine laufende Ransomware-Kampagne der Gruppe Interlock aufgedeckt, die eine Sicherheitslücke in der Cisco Secure Firewall Management Center (FMC)-Software ausnutzt. Besonders relevant: Die Gruppe war Cisco selbst um mehr als einen Monat voraus.

Cisco-Schwachstelle CVE-2026-20131 – was steckt dahinter?

Die Schwachstelle CVE-2026-20131 betrifft die Cisco Secure Firewall Management Center (FMC)-Software und ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, beliebigen Java-Code mit Root-Rechten auf betroffenen Geräten auszuführen. Cisco veröffentlichte die Sicherheitsmeldung am 4. März 2026.

Die Untersuchungen von Amazon zeigen jedoch, dass Interlock die Lücke bereits ab dem 26. Januar 2026 aktiv ausnutzte – also 36 Tage vor der offiziellen Offenlegung. Damit handelt es sich um einen klassischen Zero-Day-Angriff: Verteidiger hatten keine Möglichkeit, gezielte Schutzmaßnahmen einzuleiten, bevor Systeme kompromittiert wurden.

Amazon teilte die gewonnenen Erkenntnisse nach der Entdeckung mit Cisco, um die weiteren Ermittlungen zu unterstützen. AWS-Infrastruktur oder Kunden-Workloads auf AWS waren nach aktuellem Stand nicht betroffen.

Wie Amazon das operative Toolkit von Interlock sicherstellen konnte

Ausgangspunkt der Untersuchung war das MadPot-Sensornetzwerk von Amazon – ein System aus Honeypot-Servern, das zur Beobachtung von Angreifern eingesetzt wird. Nach der Entdeckung erster Exploit-Versuche simulierten Analysten ein kompromittiertes System, indem sie die erwartete HTTP-PUT-Anfrage ausführten. Dies veranlasste Interlock, zur nächsten Angriffsphase überzugehen und den Download einer schädlichen ELF-Binärdatei anzustoßen.

Ein weiterer Zufallsfund erwies sich als besonders aufschlussreich: Ein falsch konfigurierter Infrastruktur-Server der Angreifer legte das gesamte operative Toolkit offen. Dadurch erhielten die Amazon-Teams Einblick in:

• die vollständige mehrstufige Angriffskette
• maßgeschneiderte Remote-Access-Trojaner
• automatisierte Erkundungsskripte
• Techniken zur Umgehung von Sicherheitsmaßnahmen

Zuordnung zur Interlock-Gruppe

Mehrere technische und operative Merkmale belegen die Zuordnung zur Interlock-Ransomware-Familie:

• Die eingebettete Lösegeldforderung und das TOR-Verhandlungsportal entsprechen dem bekannten Interlock-Profil
• Verweise auf Datenschutzvorschriften in der Lösegeldforderung spiegeln die dokumentierte Taktik wider, Opfer mit regulatorischen Konsequenzen unter Druck zu setzen
• Eine kampagnenspezifische Organisationskennung stimmt mit dem Opfer-Tracking-Modell der Gruppe überein

Bevorzugte Zielbranchen:

• Bildungseinrichtungen
• Ingenieur-, Architektur- und Bauunternehmen
• Fertigungs- und Industrieunternehmen
• Gesundheitsdienstleister
• Staatliche und öffentliche Einrichtungen

Eine zeitliche Analyse der Aktivitätsmuster deutet mit 75–80-prozentiger Wahrscheinlichkeit darauf hin, dass die Gruppe in der Zeitzone UTC+3 operiert. Die Hauptaktivität liegt zwischen 08:30 und 18:00 Uhr, mit einem Ruhefenster von ca. 00:30 bis 08:30 Uhr.

Das Toolkit im Detail: Werkzeuge und Methoden

Erkundung nach der Kompromittierung

Ein sichergestelltes PowerShell-Skript systematisiert die Informationssammlung in kompromittierten Windows-Umgebungen. Es erfasst unter anderem:

• Betriebssystem- und Hardwaredetails
• Laufende Dienste und installierte Software
• Hyper-V-Inventar und Speicherkonfiguration
• Benutzerdateien aus Desktop-, Dokumenten- und Download-Verzeichnissen
• Browser-Artefakte aus Chrome, Edge, Firefox, Internet Explorer und dem 360-Browser (Verlauf, Lesezeichen, gespeicherte Anmeldedaten, Erweiterungen)
• Aktive Netzwerkverbindungen sowie zugehörige Prozesse
• ARP-Tabellen, iSCSI-Sitzungsdaten und RDP-Ereignisprotokolle

Die gesammelten Daten werden in eine zentrale Netzwerkfreigabe geschrieben, pro Host in eigenen Verzeichnissen abgelegt, zu ZIP-Archiven komprimiert und anschließend in Ursprungsform gelöscht – eine Struktur, die auf den parallelen Einsatz auf mehreren Systemen ausgelegt ist.

Maßgeschneiderte Remote-Access-Trojaner (RATs)

Interlock setzt zwei funktional gleichwertige RATs in unterschiedlichen Programmiersprachen ein:

JavaScript-Implantat:

• Unterdrückt Debugging-Ausgaben durch Überschreiben von Browser-Konsolen-Methoden
• Erstellt beim Start ein Systemprofil via PowerShell und WMI
• Kommuniziert über persistente WebSocket-Verbindungen mit RC4-Verschlüsselung und wechselnden 16-Byte-Schlüsseln pro Nachricht
• Bietet Shell-Zugriff, Dateiübertragung und SOCKS5-Proxy-Funktionen
• Unterstützt Selbstaktualisierung und Selbstlöschung

Java-Implantat:

• Funktional identisch mit dem JavaScript-Pendant
• Basiert auf GlassFish-Bibliotheken mit Grizzly für I/O-Transport und Tyrus für WebSocket-Kommunikation

Durch den Parallelbetrieb beider Varianten sichert Interlock den Zugriff auch dann ab, wenn eine Version von Verteidigern entfernt wird.

Infrastruktur-Verschleierung

Ein sichergestelltes Bash-Skript richtet Linux-Server als HTTP-Reverse-Proxys ein, um den tatsächlichen Angriffsursprung zu verschleiern. Das Skript:

• Installiert fail2ban mit SSH-Brute-Force-Schutz
• Kompiliert HAProxy 3.1.2 aus dem Quellcode
• Leitet sämtlichen HTTP-Datenverkehr auf Port 80 an eine fest codierte Ziel-IP weiter
• Sichert die Persistenz über Systemneustarts via systemd

Besonders auffällig ist ein automatischer Log-Lösch-Mechanismus, der alle fünf Minuten als Cron-Job ausgeführt wird: Alle Protokolldateien unter /var/log werden geleert, der Shell-Verlauf unterdrückt. Diese Kombination aus Weiterleitungsproxy und aggressiver Spurenbeseitigung erschwert die Rückverfolgung von Angriffen erheblich.

Speicherresidente Webshell

Als Alternative zum ELF-Binär setzt Interlock eine Java-Klassendatei ein, die beim Laden durch die Java Virtual Machine (JVM) eine persistente Backdoor im Arbeitsspeicher installiert – ohne dabei Dateien auf die Festplatte zu schreiben. Dieser „dateilose“ Ansatz umgeht herkömmliche dateibasierte Antiviren-Scans.

Die Webshell:

• Registriert einen ServletRequestListener beim StandardContext des Servers
• Prüft eingehende HTTP-Anfragen auf verschlüsselte Befehlspakete
• Entschlüsselt Payloads mit AES-128 (Schlüssel abgeleitet aus einem fest codierten MD5-Hash)
• Lädt und führt den entschlüsselten Java-Bytecode dynamisch im Speicher aus

Konnektivitätsprüfung

Eine sichergestellte Java-Klassendatei implementiert einen einfachen TCP-Server auf Port 45588 – verschleiert als Unicode-Zeichen, um die Portnummer vor statischer Analyse zu verbergen. Der Server protokolliert eingehende Verbindungen, sendet eine Begrüßungsnachricht und trennt die Verbindung sofort wieder. Das Verhalten entspricht einem Beacon-Tool zur Überprüfung erfolgreicher Code-Ausführung nach einem Exploit.

Missbrauch legitimer Software

Ergänzend zu den eigenen Implantaten setzt Interlock bekannte legitime Tools ein:

• ConnectWise ScreenConnect: Kommerzielles Remote-Desktop-Tool, das als zusätzlicher Zugangspfad dient, falls eigene Backdoors entfernt werden. Die legitime Netzwerkpräsenz des Tools erschwert die Erkennung.
• Volatility: Open-Source-Framework für Speicherforensik, das eigentlich von Incident Respondern genutzt wird. Der Einsatz ermöglicht den Zugriff auf im RAM gespeicherte Anmeldedaten und unterstützt laterale Bewegungen im Netzwerk.
• Certify: Offensiv-Sicherheitstool zur Identifikation von Fehlkonfigurationen in Active Directory-Zertifikatsdiensten (AD CS). Ermöglicht das Ausstellen von Zertifikaten zur Identitätsverschleierung, Rechteerweiterung oder dauerhaften Zugriffssicherung.

Handlungsempfehlungen

Unternehmen, die Cisco Secure Firewall Management Center einsetzen, sollten umgehend die verfügbaren Sicherheitspatches von Cisco einspielen und ihre Systeme anhand der veröffentlichten Indicators of Compromise (IoCs) überprüfen.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk