# PROC — Interlock: Exploração Zero-Day do Cisco FMC (CVE-2026-20131) ## Visão Geral O [[interlock-ransomware|Interlock Ransomware]] é um grupo de ransomware surgido em 2024, conhecido por operações seletivas contra organizações de médio e grande porte. Em janeiro de 2026, o grupo adquiriu (ou desenvolveu) um exploit para o [[cve-2026-20131|CVE-2026-20131]] — uma vulnerabilidade de desserialização de dados não confiáveis no **Cisco Secure Firewall Management Center (FMC)** — e conduziu uma campanha de comprometimento de infraestrutura de segurança de rede. A ironia tática: o dispositivo comprometido é o console de gerenciamento de firewalls. Um atacante com acesso ao FMC pode **modificar políticas de firewall, desativar regras de segurança e criar backdoors na borda da rede**. ## Técnica MITRE - **Tática:** Initial Access - **Técnica:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - **CVE:** [[cve-2026-20131|CVE-2026-20131]] (CVSS 10.0 — desserialização RCE sem autenticação) ## Diagrama de Sequência — Exploração e Ransomware ```mermaid sequenceDiagram participant I as Interlock Ransomware participant FMC as Cisco FMC (Alvo) participant FW as Firewalls Gerenciados participant NET as Rede Interna participant LS as Leak Site Interlock note over I: Fase 1 — Reconhecimento I->>I: Shodan scan: port 443, "Cisco Firepower Management" I->>I: Versões vulneráveis identificadas (7.x < 7.4.2) note over I,FMC: Fase 2 — Exploração Zero-Day I->>FMC: POST /api/fmc_config/ com payload de desserialização malicioso FMC->>I: RCE obtido — shell reverso como www-data I->>FMC: Privesc para root (CVE local adicional) I->>FMC: Web shell implantado em /var/www/html/ note over I,FW: Fase 3 — Comprometimento do Console de Firewall I->>FMC: Acesso às credenciais de API do FMC I->>FW: Modificação de políticas — criação de regra allow-all para IP atacante I->>FW: Desativação de IPS profiles nos segmentos críticos note over I,NET: Fase 4 — Movimento Lateral via Rede Desprotegida I->>NET: Acesso direto à rede interna via regras modificadas I->>NET: Enumeração de hosts (nmap, SMB, RDP) I->>NET: Deploy de Sliver C2 beacon via SMB note over I,LS: Fase 5 — Exfiltração + Ransomware I->>NET: Exfiltração de dados críticos (rclone → C2) I->>NET: Deploy de ransomware Interlock via PsExec em massa I->>LS: Publicação de entrada da vítima no site de extorsão ``` ## Passo a Passo Detalhado ### Fase 1 — Reconhecimento de FMCs Expostos O Interlock utilizou **Shodan** e **Censys** para identificar instâncias do Cisco FMC expostas na internet (porta 443, banner "Cisco Firepower Management Center"). A query Shodan: ``` title:"Cisco Firepower Management Center" http.status:200 ``` Retornou milhares de instâncias globais. O grupo filtrou por versões vulneráveis (7.x anterior à 7.4.2) usando fingerprinting de versão via response headers. ### Fase 2 — Exploração do CVE-2026-20131 A vulnerabilidade reside no endpoint REST API `/api/fmc_config/` que desserializa objetos Java sem válidação adequada. Um payload serializado malicioso enviado via POST resulta em execução de código como `www-data` no servidor Linux subjacente. O exploit é uma variante da classe de vulnerabilidades de **Java deserialization** (similar ao Apache Log4Shell em impacto, mas em um vetor de API). Não requer autenticação prévia — CVSS 10.0. ### Fase 3 — Abuso do Console de Firewall como Pivô Com acesso root ao FMC, o Interlock tem controle total sobre todos os firewalls gerenciados pelo console. Isso representa uma vantagem operacional única: 1. **Cria regras de firewall** permitindo tráfego do IP do atacante para qualquer destino na rede interna 2. **Desativa políticas de IPS** que poderiam detectar o movimento lateral 3. **Acessa credenciais armazenadas** no FMC para dispositivos gerenciados 4. **Planta backdoors persistentes** no FMC que sobrevivem a reboots ### Fase 4 — Movimento Lateral Facilitado por Políticas Modificadas Com as regras de firewall modificadas para permitir tráfego do atacante, o movimento lateral na rede interna torna-se trivial. O Interlock usa o **Sliver C2** (alternativa open-source ao Cobalt Strike) para gerenciar o acesso e distribuir o ransomware. ## Relevância para o Brasil O [[cve-2026-20131|CVE-2026-20131]] tem relevância especial para o Brasil porque o Cisco FMC é amplamente utilizado por: - Grandes bancos brasileiros (infraestrutura de borda) - Agências governamentais federais e estaduais - Operadoras de telecomúnicações - Infraestrutura crítica (energia, saúde) O **CTIR Gov** (Centro de Tratamento de Incidentes de Governo) emitiu o **Alerta 21/2026** específicamente para alertar organizações do governo brasileiro sobre a ameaça. ## Oportunidades de Detecção | Etapa | Indicador | Ferramenta | |-------|-----------|-----------| | Reconhecimento | Scan de porta 443 com user-agent Shodan | IDS / Firewall Logs | | Exploração | POST anômalo para `/api/fmc_config/` com payload grande | WAF / FMC Logs | | RCE | Processo filho inesperado do FMC (shell, curl, wget) | HIDS no FMC | | Modificação de política | Criação de regra allow-all no FMC fora de jánela de manutenção | SIEM / FMC Audit Log | | Beacon | Tráfego para IP externo de hosts internos previamente isolados | NDR | ## Mitigações 1. **Patch imediato** — atualizar Cisco FMC para versão 7.4.2 ou superior 2. **FMC não deve ser exposto na internet** — acesso apenas via VPN ou jump host com MFA 3. **Alertas de mudança de política** — qualquer modificação de regra de firewall deve acionar alerta 4. **RBAC estrito no FMC** — contas separadas por função, nenhuma conta com acesso full admin cotidianamente 5. **Monitoramento de integridade de configuração** — diff automático de políticas do FMC - [[interlock-ransomware|Interlock Ransomware]] — grupo responsável pelo procedimento - [[cisco-fmc-exploitation-campaign-2026|Cisco FMC Exploitation Campaign 2026]] — campanha completa - [[cve-2026-20131|CVE-2026-20131]] — vulnerabilidade explorada (CVSS 10.0, CISA KEV) - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] — técnica MITRE - [[t1562-impair-defenses|T1562 - Impair Defenses]] — modificação de políticas de firewall - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] — fase de ransomware - [[government|Setor Governo]] — alvo crítico no Brasil - [[_techniques|Índice de TTPs]] — visão geral --- *Fonte: [Cisco Security Advisory — CVE-2026-20131](https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-2026)* *Fonte: [CISA KEV — CVE-2026-20131 Entry](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)* *Fonte: [CTIR Gov — Alerta 21/2026](https://www.ctir.gov.br/alertas/)*