# CVE-2026-20131 - Cisco FMC Deserialization de Dados Não Confiáveis (RCE como root) > CVSS: 10.0 (Crítico) · EPSS: ~97% · Vendor: Cisco · Patch: Sim · CISA KEV: Sim (2026-03-19) · Prazo CISA: 2026-03-22 (VENCIDO) ## Resumo ```mermaid graph TB A["🔍 CVE-2026-20131 · CVSS 10.0<br/>Cisco FMC - Desserialização Java"] --> B["🎯 Identificar FMC Exposto<br/>Interface de gerenciamento<br/>porta 443 acessível"] B --> C["💥 Enviar Objeto Java<br/>Serializado Malicioso<br/>via HTTP sem auth"] C --> D["🔧 RCE como Root<br/>Execução de código Java<br/>privilégios máximos"] D --> E["🔧 Download Payload ELF<br/>C2 Interlock Ransomware<br/>movimentação lateral"] E --> F["💀 Comprometimento FTD<br/>Manipular políticas firewall<br/>Ransomware em toda a rede"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` **CVE-2026-20131** é uma vulnerabilidade crítica de **desserialização de dados não confiáveis** (CWE-502) na interface de gerenciamento web do **[[Cisco Secure Firewall Management Center]] (FMC)**. A falha permite que um atacante remoto, sem autenticação, execute código Java arbitrário como root no dispositivo afetado. A vulnerabilidade é causada pela desserialização insegura de um stream de bytes Java fornecido pelo usuário. Um atacante envia um objeto Java serializado malicioso à interface de gerenciamento, o que resulta em execução de código arbitrário com elevação imediata de privilégios para root. **Pontuação de risco:** - CVSS v3.1: **10.0** (Crítico) - máxima pontuação possível - EPSS: **~97%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: **adicionado em 2026-03-19** - prazo de remediação: **2026-03-22 (VENCIDO)** - Exploit público: **exploração ativa confirmada** - Interlock ransomware desde 2026-01-26 > ⚠️ **ATENÇÃO:** O prazo de remediação para agências federais dos EUA (BOD 22-01) já venceu em 2026-03-22. Organizações com FMC exposto devem considerar comprometimento provável. ## Impacto Técnico O Cisco FMC é o plano de gerenciamento centralizado para dispositivos [[Cisco Secure Firewall]] (FTD). Um comprometimento do FMC implica: - **Execução de código remoto como root:** controle total do sistema operacional subjacente - **Comprometimento do plano de gerenciamento:** acesso a todas as políticas de firewall gerenciadas - **Manipulação de políticas downstream:** alteração, desabilitação ou exfiltração de regras de firewall em dispositivos FTD gerenciados - **Persistência furtiva:** instalação de implantes no plano de gerenciamento, invisíveis ao monitoramento de endpoints **Impacto para organizações LATAM/Brasil:** O [[Cisco Secure Firewall Management Center]] tem ampla adoção em grandes organizações brasileiras dos setores [[financial]], [[government]] e [[telecommunications|telecomúnicações]]. Dado que o FMC controla múltiplos firewalls downstream, um único comprometimento pode comprometer toda a postura de segurança de rede. O risco de exploração oportunista é **crítico** dado a confirmação de uso por atores de ransomware. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Cisco | Secure Firewall Management Center | < 7.0.9 | 7.0.9 | | Cisco | Secure Firewall Management Center | 7.1.0–7.2.10 | 7.2.11 | | Cisco | Secure Firewall Management Center | 7.4.0–7.4.5 | 7.4.6 | | Cisco | Secure Firewall Management Center | 7.6.0–7.6.4 | 7.6.5 | | Cisco | Secure Firewall Management Center | 7.7.0–7.7.11 | 7.7.12 | | Cisco | Secure Firewall Management Center | 10.0.0 | 10.0.1 | | Cisco | Security Cloud Control (SCC) | Afetado | Corrigido automaticamente por Cisco | **Não afetado:** Cloud-Delivered FMC, Cisco ASA, Cisco FTD isolado (sem FMC), Cisco Security Cloud Control (já corrigido pelo vendor). **Nota importante:** A exposição é significativamente reduzida quando a interface de gerenciamento do FMC **não** tem acesso direto à internet. Priorizar a correção de instâncias com interface de gerenciamento exposta externamente. ## Patch e Mitigação **Patch oficial:** - Advisory: [Cisco Security Advisory cisco-sa-fmc-rce-unauth-sY99mT3L](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-unauth-sY99mT3L) - Data de lançamento: **2026-03-04** - **Nenhuma solução alternativa (workaround) disponível** - patch obrigatório **Como aplicar:** 1. Verificar a versão atual: navegue para `System > Updates` na interface do FMC 2. Usar o [Cisco Software Checker](https://sec.cloudapps.cisco.com/security/center/softwarechecker.x) para confirmar versão afetada 3. Fazer backup completo da configuração antes da atualização 4. Aplicar o upgrade para a versão corrigida correspondente ao seu release train 5. Verificar integridade do update via hash SHA256 fornecido no advisory oficial 6. Reiniciar o FMC após a atualização e válidar conectividade dos dispositivos FTD gerenciados **Mitigações temporárias** (quando patch não é imediatamente possível): - Remover acesso da interface de gerenciamento do FMC à internet pública - **ação de maior impacto** - Restringir acesso à interface de gerenciamento apenas a redes de gerenciamento dedicadas (OOB) - Ativar logging adicional de autenticação e acesso à interface web - Monitorar requisições HTTP anômalas à interface de gerenciamento ## Exploração Ativa **Status atual:** ✅ **Exploração ativa confirmada** - zero-day utilizado desde 2026-01-26 **Evidências de uso em ataques:** - **Amazon Threat Intelligence (MadPot)**: detectou exploração como zero-day pelo grupo [[Interlock Ransomware]] a partir de **2026-01-26**, mais de um mês antes da divulgação pública pela Cisco - 2026-03-18 - **The Hacker News**: relatou que a cadeia de ataque envolve envio de requisição HTTP à interface, execução de código Java, e posterior download de binário ELF para C2 do Interlock - 2026-03-18 - **RunZero**: confirmou evidências de exploração ativa em produção - 2026-03-05 - **Cisco**: atualizou seu advisory confirmando exploração ativa após relatórios iniciais - 2026-03-18 **Grupos de ameaça utilizando:** - [[Interlock Ransomware]] - exploração ativa como zero-day desde 2026-01-26; utiliza o FMC comprometido para movimentação lateral e deploy de ransomware em redes corporativas **CVE relacionado (mesmo advisory):** - [[cve-2026-20079|CVE-2026-20079]] - bypass de autenticação no Cisco FMC via processo de boot malconfigurado, CVSS 10.0 (ainda não confirmado em CISA KEV) ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2026-20131 / Interlock Ransomware (TLP:GREEN) > **Cadeia de exploração:** > - Requisicao HTTP maliciosa a interface de gerenciamento do FMC > - Execução de código Java no servidor FMC > - Download de binario ELF para estabelecer C2 com infraestrutura Interlock > > **Artefatos no host (FMC comprometido):** > - Binarios ELF nao autorizados no filesystem do FMC > - Processos Java anomalos com conexoes de rede nao esperadas > - Modificacoes em configuração de dispositivos FTD gerenciados pelo FMC comprometido > > **Indicadores de rede:** > - Requisicoes HTTP anomalas a interface de gerenciamento do FMC (pre-autenticação) > - Conexoes outbound do FMC para infraestrutura C2 do Interlock Ransomware > - Trafego de movimentação lateral originado do FMC para segmentos de rede internos > > **Timeline de exploração:** > - Zero-day ativo desde **2026-01-26** (Amazon MadPot) > - Divulgacao pública: **2026-03-04** (Cisco advisory) > - CISA KEV: **2026-03-19** > > **Fontes:** [Cisco Advisory](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-unauth-sY99mT3L) · [The Hacker News](https://thehackernews.com/) · [RunZero](https://www.runzero.com/) ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-19**. - **Prazo de remediação para agências federais EUA:** **2026-03-22 (VENCIDO)** - **Recomendação para o setor privado:** remediar imediatamente - exploração ativa confirmada por grupo de ransomware; qualquer FMC exposto deve ser considerado potencialmente comprometido - **Referência:** [CISA KEV - CVE-2026-20131](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-20079|CVE-2026-20079]] **Atores explorando:** [[Interlock Ransomware]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores em risco:** [[financial]] · [[government]] · [[telecommunications|telecomúnicações]] · [[critical-infrastructure]]