Cisco hat Informationen zur Schwachstelle zusammen mit Softwareupdates Anfang März bekannt gemacht. Amazon hat bei der Untersuchung herausgefunden, dass die Lücke bereits seit dem 26. Januar 2026 angegriffen wurde – somit fünf Wochen vor dem Zeitpunkt, zu dem Cisco sie öffentlich gemacht hat.

Akuter Handlungsbedarf

Amazon Threat Intelligence hat eine hochaktive Kampagne der Ransomware-Gruppe „Interlock“ aufgedeckt, die gezielt Enterprise-Firewalls ins Visier nimmt. Die Angreifer nutzen die Schwachstelle CVE-2026-20131 im Cisco Secure Firewall Management Center (FMC) aus. Cisco bestätigt in seinem offiziellen Security Advisory die Sicherheitslücke in ihrem Produkt. Das Amazon Sicherheitsteam konnte nachvollziehen, dass der Fehler bereits seit dem 26. Januar 2026 massiv als Zero-Day-Exploit ausgenutzt wurde – Wochen vor der offiziellen Veröffentlichung der Patches von Cisco.
Sobald sich Interlock den initialen Zugang (Initial Access) verschafft hat, nutzen sie eine Vielzahl spezieller Tools, um ihren Angriff auszuweiten. Es konnten Artefakte von Datensammlungsskripten feststellen, die Informationen der betroffenen Netzwerke sammeln.  Zusätzlich hat Interlock ConnectWise ScreenConnect verwendet, ein kommerzielles Remote-Desktop-Tool, zusammen mit eigener maßgeschneiderter Software.
Wenn Ransomware-Akteure legitime Remote-Zugriffs-Tools neben ihrer eigenen Schadsoftware bereitstellen, kaufen sie sich quasi eine Versicherung: Wenn die betroffenen Unternehmen eine Backdoor finden und entfernen, haben die Angreifer immer noch einen anderen Weg ins System. Dies deutet auf mehrere redundante Remote-Zugriffsmechanismen hin; ein Muster, das typisch für Ransomware-Akteure ist, die versuchen, den Zugriff aufrechtzuerhalten, selbst wenn einzelne Zugangspunkte entfernt werden.

Auswirkungen

Die Analyse des von AWS sichergestellten Angriffs-Toolkits zeigt eine hohe Professionalität der Täter. Um nicht entdeckt zu werden, nutzen die Hacker speicherresidente Backdoors und missbrauchen legitime Admin-Werkzeuge für den dauerhaften Netzwerkzugriff. Für die Eskalation von Berechtigungen greift die Gruppe zudem gezielt Fehlkonfigurationen in den Active Directory Certificate Services (AD CS) mittels Certify – einem offensiven open source Security Tool – der Opfer an. Cisco weist explizit darauf hin, dass die Angriffsfläche massiv reduziert wird, wenn das FMC-Management-Interface keine direkte Anbindung an das öffentliche Internet besitzt.