2026-03-cisco-fmc-zero-day

# Cisco FMC Zero-Day - Interlock Ransomware - 2026 > [!abstract] Resumo > O grupo [[Interlock Ransomware]] explorou o [[cve-2026-20131|CVE-2026-20131]] - uma vulnerabilidade de desserialização crítica (CVSS 10.0) no Cisco Secure Firewall Management Center (FMC) - como zero-day por 36 dias antes da divulgação pública. A CISA adicionou a CVE ao catálogo KEV e o [[CTIR Gov]] emitiu alerta para organizações brasileiras. **Data:** 4 de março de 2026 (disclosure) | **Categoria:** Zero-Day Exploitation --- ## O que aconteceu Em 4 de março de 2026, a Cisco divulgou publicamente o [[cve-2026-20131|CVE-2026-20131]] - uma vulnerabilidade de desserialização crítica com pontuação CVSS 10.0 no Cisco Secure Firewall Management Center (FMC), plataforma de gerenciamento centralizado de firewalls Cisco utilizada por organizações em todo o mundo. Entretanto, a exploração ativa já vinha ocorrendo desde 26 de janeiro de 2026 - 36 dias de operação zero-day sem detecção. O grupo [[Interlock Ransomware]] conduziu a campanha [[cisco-fmc-exploitation-campaign-2026]], utilizando a vulnerabilidade para obter acesso inicial a redes de organizações nos setores de [[education|educação]], [[healthcare|saúde]], [[government|governo]] e [[technology|tecnologia]]. A falha de desserialização permite execução remota de código com privilégios elevados no servidor FMC, que por sua natureza tem visibilidade e controle sobre toda a infraestrutura de firewall da organização. Em 19 de março de 2026, a CISA adicionou a CVE-2026-20131 ao catálogo Known Exploited Vulnerabilities (KEV) com prazo federal de remediação de 22 de março de 2026. No mesmo dia, o [[CTIR Gov]] - Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Brasil - emitiu o **Alerta 21/2026**, alertando organizações brasileiras sobre o risco imediato e recomendando ações de remediação emergenciais. --- ## Atores e Ferramentas - **Threat Actor:** [[Interlock Ransomware]] - **Campanha:** [[cisco-fmc-exploitation-campaign-2026]] - **CVE explorado:** [[cve-2026-20131|CVE-2026-20131]] (Desserialização, CVSS 10.0) - **Produto afetado:** Cisco Secure Firewall Management Center (FMC) - **Período zero-day:** 36 dias (26/01 a 04/03/2026) - **CISA KEV:** Sim (19/03/2026) - **Técnicas MITRE:** [[t1190-exploit-public-facing-application]], [[t1486-data-encrypted-for-impact]] --- ## Impacto O impacto é amplificado pela criticidade do produto afetado: o Cisco FMC é uma plataforma de gerenciamento centralizado que controla políticas de segurança, regras de firewall e monitoramento de toda a infraestrutura de firewalls Cisco de uma organização. O comprometimento de um FMC oferece ao atacante visibilidade completa da arquitetura de rede e capacidade de manipular regras de segurança. No Brasil, o alerta do CTIR Gov destacou a necessidade de ação imediata por parte de organizações governamentais e de infraestrutura crítica que utilizam soluções Cisco. A coincidência temporal com a [[2026-02-veeam-ransomware-exploitation|onda de exploração de Veeam]] e a [[2026-01-venon-banking-trojan|emergência do VENON]] configura um cenário de ameaças particularmente intenso no primeiro trimestre de 2026 para organizações brasileiras. --- ## Notas Relacionadas - [[cisco-fmc-exploitation-campaign-2026]] - campanha detalhada - [[Interlock Ransomware]] - perfil do grupo de ameaça - [[cve-2026-20131|CVE-2026-20131]] - perfil da vulnerabilidade - [[CTIR Gov]] - entidade governamental brasileira de resposta a incidentes - [[t1190-exploit-public-facing-application]] - técnica de acesso inicial