Interlock Ransomware ใช้ช่องโหว่ Zero-day บน Cisco Secure FMC โจมตีองค์กรตั้งแต่เดือนมกราคม

กลุ่ม Interlock Ransomware ใช้ช่องโหว่ Remote Code Execution (RCE) ระดับ Critical บน Cisco Secure Firewall Management Center (FMC) เป็น Zero-day โจมตี Firewall ขององค์กรมาตั้งแต่ปลายเดือนมกราคม ก่อนที่ Cisco จะปล่อยแพตช์แก้ไข

กลุ่ม Interlock เป็นปฏิบัติการ Ransomware ที่เริ่มปรากฏตัวตั้งแต่เดือนกันยายน 2024 โดยมีความเชื่อมโยงกับเทคนิค ClickFix และการใช้ Remote Access Trojan ชื่อ NodeSnake โจมตีมหาวิทยาลัยหลายแห่งในสหราชอาณาจักร นอกจากนี้กลุ่มดังกล่าวยังอ้างว่าอยู่เบื้องหลังการโจมตีองค์กรขนาดใหญ่หลายแห่ง เช่น DaVita, Kettering Health, Texas Tech University System และเมือง Saint Paul รัฐ Minnesota รวมถึงล่าสุดมีรายงานจากทีมวิจัยของ IBM X-Force ว่ากลุ่มนี้ใช้ Malware ตัวใหม่ชื่อ Slopoly ที่อาจถูกสร้างขึ้นด้วยเครื่องมือ Generative AI

Cisco ได้ปล่อยแพตช์แก้ไขช่องโหว่ CVE-2026-20131 เมื่อวันที่ 4 มีนาคม โดยช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถรัน Java Code ในระดับ Root บนอุปกรณ์ที่ยังไม่ได้แพตช์ได้จากระยะไกล อย่างไรก็ตาม ทีม Threat Intelligence จาก Amazon รายงานว่ากลุ่ม Interlock ได้ใช้ช่องโหว่นี้โจมตี Enterprise Firewall มานานกว่าหนึ่งเดือนก่อนที่จะมีแพตช์ออกมา โดยเริ่มต้นตั้งแต่วันที่ 26 มกราคม 2026 ซึ่งเร็วกว่าการเปิดเผยข้อมูลต่อสาธารณะถึง 36 วัน

นับตั้งแต่ต้นปีที่ผ่านมา Cisco ได้แก้ไขช่องโหว่ Zero-day หลายรายการ ไม่ว่าจะเป็นช่องโหว่ระดับ Critical บน Cisco AsyncOS ที่ถูกใช้โจมตี Secure Email Appliance มาตั้งแต่เดือนพฤศจิกายน, ช่องโหว่ RCE บน Unified Communications รวมถึงช่องโหว่ระดับ Critical บน Catalyst SD-WAN ที่ถูกใช้ Bypass Authentication เพื่อเข้าควบคุม Controller และเพิ่ม Rogue Peer เข้าสู่เครือข่ายเป้าหมาย ผู้ดูแลระบบที่ใช้งาน Cisco Secure FMC ควรอัปเดตแพตช์โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/interlock-ransomware-exploited-secure-fmc-flaw-in-zero-day-attacks-since-january/