أصدرت شركة Amazon Threat Intelligence تحذيراً بشأن حملة نشطة لبرمجية الفدية Interlock، تستغل ثغرة خطيرة في برنامج Cisco Secure Firewall Management Center (FMC). الثغرة تحمل الرمز CVE-2026-20131 وتُصنّف بدرجة خطورة 10.0 وفق مقياس CVSS، وهي ناتجة عن عدم أمان في عملية deserialization لسلسلة بايتات Java يرسلها المستخدم. هذا الخلل يسمح لمهاجم عن بُعد غير موثق بتجاوز آليات التحقق وتنفيذ تعليمات برمجية عشوائية بصلاحيات الجذر.
استغلال يوم-صفر وسلسلة الهجوم
وفقاً لشبكة الاستشعار العالمية MadPot التابعة لأمازون، استُغلت الثغرة منذ 26 يناير 2026، أي قبل أكثر من شهر من إعلان Cisco عنها. سلسلة الهجوم تبدأ بإرسال طلبات HTTP مصممة خصيصاً إلى مسار محدد في البرنامج، مما يؤدي إلى تنفيذ تعليمات Java كجذر. بعد ذلك، يقوم النظام المخترق بإرسال طلب HTTP PUT إلى خادم خارجي لتأكيد نجاح الاستغلال، ثم يجلب ملف ELF من خادم بعيد يحتوي على أدوات إضافية مرتبطة بـ Interlock.
أدوات الهجوم المكتشفة
التحقيق كشف عن مجموعة أدوات متكاملة تشمل:
- سكربت PowerShell لجمع معلومات شاملة عن بيئات Windows (النظام، الأجهزة، الخدمات، البرامج، الاتصالات، سجلات RDP).
- برمجيات وصول عن بُعد (RATs) مكتوبة بـ Java وJavaScript لدعم التحكم التفاعلي، تنفيذ الأوامر، نقل الملفات، وإنشاء بروكسي SOCKS5.
- سكربت Bash لإعداد خوادم Linux كعكس بروكسي HTTP مع أدوات مثل fail2ban وHAProxy، إضافة إلى روتين لمحو السجلات كل خمس دقائق.
- Web shell مقيم في الذاكرة لفك تشفير وتنفيذ أوامر مخفية في الطلبات.
- Beacon خفيف الوزن للتواصل مع البنية التحتية للمهاجمين.
- استخدام ConnectWise ScreenConnect للوصول المستمر.
- إطار عمل Volatility للتحليل الجنائي للذاكرة.
السياق والارتباطات
الأدلة التقنية والعملياتية، بما في ذلك الملاحظات المدمجة ورسائل التفاوض عبر TOR، تربط هذه الحملة مباشرة بمجموعة Interlock. وتشير البيانات إلى أن المجموعة تعمل ضمن المنطقة الزمنية UTC+3.
توصيات الحماية
مع استمرار الاستغلال النشط، يُنصح المؤسسات بـ:
- تطبيق التحديثات الأمنية من Cisco فوراً.
- إجراء تقييمات أمنية للكشف عن أي اختراق محتمل.
- مراجعة نشرات ScreenConnect للتأكد من عدم وجود تثبيتات غير مصرح بها.
- اعتماد استراتيجية الدفاع متعدد الطبقات لضمان الحماية حتى في فترة ما بين اكتشاف الثغرة وإصدار الإصلاح.
كما أوضح خبراء أمازون، فإن القصة الحقيقية هنا ليست مجرد ثغرة واحدة أو مجموعة واحدة، بل التحدي الجوهري الذي تفرضه ثغرات اليوم-صفر على كل نموذج أمني، حيث تمنح المهاجمين نافذة زمنية خطيرة قبل أن يتمكن المدافعون من التصدي لها.
