Cisco FMC CVSS 10.0ゼロデイ CVE-2026-20131をInterlockランサムウェアが36日間悪用
Cisco Secure Firewall Management Center(FMC)に未認証リモートコード実行(RCE)を可能にする深刻な脆弱性、CVE-2026-20131(CVSS 10.0)が確認された。Interlockランサムウェアグループがこれをゼロデイとして悪用していたことをAmazon Threat Intelligenceが突き止め、2026年3月18日に詳細なレポートを公開した。
Ciscoが脆弱性を公表した2026年3月4日より36日前の1月26日には、AmazonのMadPotセンサーネットワークがすでに最初の悪用活動を検出していた。
CVE-2026-20131の技術詳細
| 項目 | 内容 |
|---|---|
| CVSS スコア | 10.0(Critical) |
| CVSSベクター | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| CWE | CWE-502: Deserialization of Untrusted Data |
| Cisco Bug ID | CSCwt14636 |
| 対象製品 | Cisco Secure Firewall Management Center(FMC)Software |
根本原因はFMCのWeb管理インターフェースが、ユーザー提供のJavaバイトストリームを安全でない方法でデシリアライズする実装にある。認証不要、ネットワーク到達性さえあればroot権限で任意のJavaコードを実行できるという、CVSSで最高点の10.0が付与される典型的な条件が揃っている。
Cisco FMCはFTD(Firewall Threat Defense)をはじめとするCiscoファイアウォール製品群を集中管理するコントロールプレーン。組み込まれたシステムが実際に通信を制御しているため、FMC自体が侵害されると管理下にある全ファイアウォールが攻撃者の配下に置かれうる。
攻撃チェーン
Interlockグループの実際の侵害フローは以下の通りだ。
flowchart TD
A[攻撃者] -->|細工したHTTPリクエスト送信| B[Cisco FMC<br/>Web管理インターフェース]
B -->|Javaバイトストリームの<br/>不安全なデシリアライズ| C[root権限でJavaコード実行]
C -->|外部サーバへHTTP PUTリクエスト| D[侵害成功を攻撃者が確認]
D -->|ELFバイナリをフェッチ・実行| E[足がかり確保]
E --> F[PowerShell偵察<br/>ホスト情報・認証情報収集]
E --> G[カスタムRAT展開<br/>JS版またはJava版]
E --> H[HAProxyリバースプロキシ<br/>インフラ難読化]
E --> I[メモリ常駐型Webシェル<br/>ファイルレスバックドア]
E --> J[ConnectWise ScreenConnect<br/>正規ツール悪用]
F -->|ネットワーク共有に集約・ZIP圧縮| K[内部横移動の準備]
G -->|WebSocket+RC4暗号化C2| L[永続的コントロール確立]
J --> L
K --> M[Interlockランサムウェア展開]
L --> Mリクエストボディには、設定データを配信するURLと、侵害成功時に被害システムがHTTP PUTリクエストを送信するURLの2つが埋め込まれている。Amazon Threat Intelligenceは「侵害成功したシステムのふり」をして次段階サーバへアクセスし、ツールキット全体を取得して解析した。
侵害後のツールキット
PowerShell偵察スクリプト
初期侵害後に展開される偵察用スクリプトは広範な情報を収集する。
- OS・ハードウェア詳細、稼働サービス、インストール済みソフトウェア
- ストレージ構成、Hyper-V仮想マシンインベントリ
- ブラウザアーティファクト(Chrome・Edge・Firefox・IE・360 Browserの閲覧履歴・ブックマーク・保存済み認証情報・拡張機能)
- アクティブなネットワーク接続(プロセス相関)、ARPテーブル、iSCSIセッション、RDP認証イベント
- 収集結果をネットワーク共有
\\JK-DC2\Tempにホスト名別ディレクトリで集約し、ZIP圧縮後に元データを削除
カスタムRAT(JavaScript版・Java版)
2種類のリモートアクセスツール(RAT)が確認されており、両者は機能的に同等だ。
JavaScript版はブラウザコンソールメソッドを上書きしてデバッグ出力を抑制する。起動時にPowerShell+WMIでシステム情報を収集し、暗号化ハンドシェイクで送信。C2通信には永続的WebSocket接続とRC4暗号を用い、パケットヘッダに埋め込まれた16バイトランダムキーをメッセージごとに変更する。複数の制御ホスト名・IPをランダム順にサイクルし(指数バックオフ付き)、自己更新・自己削除機能でフォレンジック分析を妨害する。
Java版はGlassFishエコシステムライブラリ(GrizzlyノンブロッキングI/O+TyrusWebSocket)で構築されており、JavaScript版と同等の機能を持つ。
機能一覧。
| 機能 | 内容 |
|---|---|
| インタラクティブシェル | 任意コマンド実行 |
| ファイル転送 | 双方向 |
| SOCKS5プロキシ | TCPトラフィックのトンネリング |
| 自己更新 | C2からのコード更新 |
| 自己削除 | フォレンジック妨害 |
HAProxyリバースプロキシ
インフラ難読化のために実際の攻撃インフラへのトラフィックをHAProxy 3.1.2でリレーする構成を構築する。ソースからのコンパイル、systemdによる永続化が行われる。特徴的なのは 5分ごとにすべてのログを削除するcronジョブ だ(/var/log/*.logをトランケートし、HISTFILEをアンセット)。
メモリ常駐型Webシェル
Javaクラスファイルとして実装されたファイルレス型バックドアで、ディスク上にバックドア専用のファイルを置かない設計になっている。JVMロード時に静的イニシャライザが ServletRequestListener を StandardContext に登録し、受信リクエストの特定パラメータから暗号化されたコマンド(ペイロード)を検出する。
復号方式はAES-128で、ハードコードされたシード文字列 "geckoformboundary99fec155ea301140cbe26faf55ed2f40" のMD5ハッシュ先頭16文字(09b1a8422e8faed0)を鍵として使用する。復号したコードをコンパイル済みJavaバイトコードとして動的ロード・実行するため、ファイルベースの検出を回避できる。
ポート45588ビーコン
侵害確認用の軽量ネットワークビーコン。ポート45588(Unicodeで 넔 と難読化)でリッスンし、接続元IPを記録してグリーティングメッセージ送信後に即切断する。
正規ツールの悪用
| ツール | 悪用目的 |
|---|---|
| ConnectWise ScreenConnect | 持続的なリモートデスクトップアクセス |
| Volatility Framework | メモリフォレンジックツールで認証情報を抽出し内部横移動に活用 |
| Certify | Active Directory証明書サービスの設定ミス悪用(権限昇格・永続化) |
アトリビューション
Interlockランサムウェアグループへの帰属はランサムノートの文面、TOR交渉ポータルのブランディング、被害者ごとに埋め込まれた組織IDの形式から確認されている。活動タイムゾーンはUTC+3と推定(75〜80%信頼度)。活動時間帯は08:30頃から開始し12:00〜18:00がピーク、00:30〜08:30が休眠時間帯となっている。
過去の被害組織のセクター傾向として教育機関が最多で、エンジニアリング/建設、製造・産業、医療、政府機関と続く。
TORランサムノートポータルは hxxp://ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid[.]onion/chat.php にある。
侵害指標(IoC)
悪用元IP
| IP | 活動時期 |
|---|---|
206.251.239[.]164 | 2026年1月 |
199.217.98[.]153 | 2026年3月 |
89.46.237[.]33 | 2026年3月 |
ステージングサーバ
37.27.244[.]222
エクスプロイトサポートドメイン(一部)
cherryberry[.]clickms-server-default[.]cominitialize-configs[.]comms-global.first-update-server[.]comms-sql-auth[.]com
C2ドメイン
browser-updater[.]click/[.]liveos-update-server[.]com/[.]org/[.]live/[.]top
TLSフィンガープリント(JA4)
t13i1811h1_85036bcba153_b26ce05bbdd6t13i4311h1_c7886603b240_b26ce05bbdd6
ファイルハッシュ(SHA-256)
| ハッシュ | ツール |
|---|---|
d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be | Certify |
6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f | スクリーンロッカー |
(ポスト侵害ツールはターゲットごとに改変されるためハッシュの信頼性は低い)
対応
Cisco Secure FMCにはすでにパッチが提供されている(2026-03-04公開)。FMCのWeb管理インターフェースをインターネットに直接公開している環境は今すぐパッチを適用する必要がある。
並行して行うべき確認。
- 上記IoCでログを検索し侵害の有無を調査
- ConnectWise ScreenConnectの無許可インストールがないか確認
- 5分ごとのログ削除cronジョブの有無を確認
ServletRequestListenerの異常な動的登録がJVM上で発生していないか確認- ポート45588への接続試行がないかネットワークログを確認
ログ保管については、侵害されたシステム上のローカルログは攻撃者に削除される可能性があるため、侵害対象外のシステムへの集中ログ管理が前提となる。