• 發布單位:TWCERT/CC
• 更新日期:2026-03-30
• 點閱次數:153

Amazon 威脅情報團隊發現，勒索軟體組織Interlock正積極利用 Cisco Secure Firewall Management Center (FMC) 的重大零日漏洞 (CVE-2026-20131，CVSS：10.0) 發動大規模攻擊。該漏洞屬於Java反序列化漏洞，允許未經身分驗證的遠端攻擊者，透過發送精心設計的反序列化物件，取得 root 最高權限並在受害設備上執行任意程式碼。建議用戶儘速依循Cisco官方建議，採取相關緩解措施並立即更新，同時檢視系統日誌確認潛在受害情形，以防止系統遭入侵後造成重大損失。

美國網路安全與基礎設施安全局（CISA）已正式將CVE-2026-20131納入已知漏洞目錄(KEV)，確認該漏洞正受到積極且廣泛的利用。根據 Amazon 全球誘餌網路 (MadPot) 的監測數據顯示，在Cisco 正式發布修補程式前，Interlock勒索軟體組織自 2026 年 1 月 26 日起便已將其作為零日漏洞進行「武器化」攻擊，防禦的空窗期長達 36 天。

研究報告顯示，資安研究人員透過攻擊者設定錯誤的伺服器，揭露其完整的攻擊工具與多階段攻擊流程，內容包含自訂後門、偵察工具及規避偵測手法，顯示其行動具有高度專業化特徵。

• 攻擊者除使用以JavaScript與Java開發的客製化RAT維持遠端控制外，並部署駐留在記憶體中的WebShell。此類無檔案手法可避免惡意程式落地，並透過攔截HTTP請求與執行加密載荷，提高規避偵測能力。
• 為了確保長期控制受害環境，攻擊者除部署合法的遠端連線工具ConnectWise ScreenConnect作為備用管道外，也利用Volatility(記憶體鑑識工具)等工具蒐集敏感資訊，並透過Certify濫用Active Directory憑證服務，以利進行滲透與權限提升。
• 攻擊者將Linux伺服器配置為HTTP反向代理以隱藏來源，並設定排程工作每五分鐘自動刪除系統日誌，藉此隱藏攻擊來源並阻礙資安人員的鑑識調查。

針對此次零日漏洞威脅，資安專家建議企業和組織立即採取以下防護措施：

• 受影響用戶應立即下載 Cisco 針對 Secure Firewall Management Center 釋出的安全性更新程式。
• 技術團隊應優先檢視系統日誌，檢查是否有未經授權的 ScreenConnect 安裝紀錄、異常連接埠（如 TCP 45588）連線，或Java ServletRequestListener的異常註冊活動。
• 鑑於零日漏洞的不可預測性，企業應建立多層次安全控制與持續性監控機制。確保在單一節點遭突破時，仍具備後續層次的防禦能力，以最大程度縮減防禦空窗期的風險。

以下是由AWS所提供的IoC：

206.251.239[.]164

199.217.98[.]153

89.46.237[.]33

144.172.94[.]59

199.217.99[.]121

188.245.41[.]78

144.172.110[.]106

95.217.22[.]175

37.27.244[.]222

cherryberry[.]click

ms-server-default[.]com

initialize-configs[.]com

ms-global.first-update-server[.]com

ms-sql-auth[.]com

kolonialeru[.]com

sclair.it[.]com

browser-updater[.]com

browser-updater[.]live

os-update-server[.]com

os-update-server[.]org

os-update-server[.]live

os-update-server[.]top

d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be

6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f