{"id":11303,"date":"2026-03-19T12:14:00","date_gmt":"2026-03-19T18:14:00","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11303"},"modified":"2026-03-19T12:14:01","modified_gmt":"2026-03-19T18:14:01","slug":"alerta-2026-26-vulnerabilidad-critica-en-cisco-bajo-explotacion-activa","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2026-26-vulnerabilidad-critica-en-cisco-bajo-explotacion-activa\/","title":{"rendered":"Alerta 2026-26 Vulnerabilidad cr\u00edtica en Cisco bajo explotaci\u00f3n activa"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Cisco Secure Firewall Management Center (FMC)<\/li>\n\n\n\n<li>Cisco Security Cloud Control (SCC)<\/li>\n\n\n\n<li>Infraestructuras que expongan la interfaz web de administraci\u00f3n de FMC<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha identificado la vulnerabilidad <strong>CVE-2026-20131 (CVSS 10.0 \u2013 Cr\u00edtica)<\/strong>, actualmente <strong>explotada activamente como 0-day<\/strong> por el grupo de ransomware Interlock desde finales de enero de 2026.<\/p>\n\n\n\n<p>La falla corresponde a una <strong>ejecuci\u00f3n remota de c\u00f3digo (RCE)<\/strong> causada por una <strong>deserializaci\u00f3n insegura en Java<\/strong> dentro de la interfaz web de Cisco FMC. Un atacante remoto no autenticado puede enviar objetos Java manipulados para ejecutar c\u00f3digo arbitrario con privilegios de <strong>root<\/strong>, comprometiendo completamente el dispositivo.<\/p>\n\n\n\n<p>Investigaciones de inteligencia de amenazas revelan que esta vulnerabilidad fue explotada <strong>36 d\u00edas antes de su divulgaci\u00f3n p\u00fablica<\/strong>, permitiendo a los atacantes comprometer organizaciones sin ser detectados. La explotaci\u00f3n se realiza mediante solicitudes HTTP especialmente dise\u00f1adas que activan la ejecuci\u00f3n de c\u00f3digo y validan el acceso mediante comunicaci\u00f3n con servidores externos.<\/p>\n\n\n\n<p>El sistema de inteligencia de amenazas de Amazon ha identificado una campa\u00f1a activa de ransomware <strong>Interlock <\/strong>que explota la vulnerabilidad CVE-2026-20131, una vulnerabilidad cr\u00edtica en el software Cisco Secure Firewall Management Center (FMC) que podr\u00eda permitir a un atacante remoto no autenticado ejecutar c\u00f3digo Java arbitrario como root en un dispositivo afectado.<\/p>\n\n\n\n<p>Una vez dentro, el grupo Interlock despliega m\u00faltiples herramientas maliciosas, incluyendo scripts de reconocimiento, troyanos de acceso remoto, webshells en memoria y malware tipo ELF. Estas herramientas permiten mantener persistencia, ejecutar comandos, robar informaci\u00f3n, moverse lateralmente y evadir controles de seguridad. Tambi\u00e9n utilizan herramientas leg\u00edtimas como ScreenConnect para acceso remoto encubierto y t\u00e9cnicas de limpieza de logs para ocultar evidencia.<\/p>\n\n\n\n<p>Este grupo, activo desde 2024, ha atacado sectores cr\u00edticos como salud, educaci\u00f3n, industria y gobierno, utilizando t\u00e1cticas avanzadas de ransomware y exfiltraci\u00f3n de datos.<\/p>\n\n\n\n<p><strong>Indicadores de compromiso (IoC)<\/strong><\/p>\n\n\n\n<p>Los siguientes indicadores respaldan las medidas defensivas que pueden adoptar las organizaciones afectadas. Debido a que Interlock utiliza t\u00e9cnicas de variaci\u00f3n de contenido, la mayor\u00eda de los hashes de archivos no se consideran indicadores fiables. El atacante modific\u00f3 la mayor\u00eda de los artefactos, como scripts y binarios, descargados a diferentes objetivos. Esto gener\u00f3 hashes de archivos distintos para herramientas funcionalmente id\u00e9nticas. Esta personalizaci\u00f3n permiti\u00f3 que cada ataque eludiera la detecci\u00f3n basada en firmas, que busca coincidencias exactas de archivos.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td>206.251.239[.]164<\/td><td>Exploit source IP<\/td><td>Active Jan 2026<\/td><\/tr><tr><td>199.217.98[.]153<\/td><td>Exploit source IP<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>89.46.237[.]33<\/td><td>Exploit source IP<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>Mozilla\/5.0 (Windows NT 10.0; Win64; x64; rv:136.0) Gecko\/20100101 Firefox\/136.0<\/td><td>Exploit HTTP User-Agent<\/td><td>Observed Jan 2026 and Mar 2026<\/td><\/tr><tr><td>b885946e72ad51dca6c70abc2f773506<\/td><td>Exploit TLS JA3<\/td><td>Observed Jan 2026 and Mar 2026<\/td><\/tr><tr><td>f80d3d09f61892c5846c854dd84ac403<\/td><td>Exploit TLS JA3<\/td><td>Observed Mar 2026<\/td><\/tr><tr><td>t13i1811h1_85036bcba153_b26ce05bbdd6<\/td><td>Exploit TLS JA4<\/td><td>Observed Jan 2026 and Mar 2026<\/td><\/tr><tr><td>t13i4311h1_c7886603b240_b26ce05bbdd6<\/td><td>Exploit TLS JA4<\/td><td>Observed Mar 2026<\/td><\/tr><tr><td>144.172.94[.]59<\/td><td>C2 Fallback IP<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>199.217.99[.]121<\/td><td>C2 Fallback IP<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>188.245.41[.]78<\/td><td>C2 Fallback IP<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>144.172.110[.]106<\/td><td>Backend C2 IP<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>95.217.22[.]175<\/td><td>Backend C2 IP<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>37.27.244[.]222<\/td><td>Staging host IP<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>hxxp:\/\/ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid[.]onion\/chat.php<\/td><td>Ransom negotiation portal<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>cherryberry[.]click<\/td><td>Exploit Support Domain<\/td><td>Active Jan 2026<\/td><\/tr><tr><td>ms-server-default[.]com<\/td><td>Exploit Support Domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>initialize-configs[.]com<\/td><td>Exploit Support Domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>ms-global.first-update-server[.]com<\/td><td>Exploit Support Domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>ms-sql-auth[.]com<\/td><td>Exploit Support Domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>kolonialeru[.]com<\/td><td>Exploit Support Domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>sclair.it[.]com<\/td><td>Exploit Support Domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>browser-updater[.]com<\/td><td>C2 domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>browser-updater[.]live<\/td><td>C2 domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>os-update-server[.]com<\/td><td>C2 domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>os-update-server[.]org<\/td><td>C2 domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>os-update-server[.]live<\/td><td>C2 domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>os-update-server[.]top<\/td><td>C2 domain<\/td><td>Active Mar 2026<\/td><\/tr><tr><td>d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be<\/td><td>Offensive security tool (Certify)<\/td><td>Observed Mar 2026<\/td><\/tr><tr><td>6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f<\/td><td>Screen locker<\/td><td>Observed Mar 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n y mitigaciones:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Actualizar inmediatamente a la versi\u00f3n corregida proporcionada por Cisco.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Restringir el acceso a la interfaz de administraci\u00f3n (FMC) \u00fanicamente a redes internas o direcciones IP confiables.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Revisar logs y buscar Indicadores de Compromiso (IoCs) asociados a actividad sospechosa<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/thehackernews.com\/2026\/03\/interlock-ransomware-exploits-cisco-fmc.html\">https:\/\/thehackernews.com\/2026\/03\/interlock-ransomware-exploits-cisco-fmc.html<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/securityaffairs.com\/189636\/malware\/interlock-group-exploiting-the-cisco-fmc-flaw-cve-2026-20131-36-days-before-disclosure.html\">https:\/\/securityaffairs.com\/189636\/malware\/interlock-group-exploiting-the-cisco-fmc-flaw-cve-2026-20131-36-days-before-disclosure.html<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/aws.amazon.com\/it\/blogs\/security\/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls\/\">https:\/\/aws.amazon.com\/it\/blogs\/security\/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-fmc-rce-NKhnULJh\">https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-fmc-rce-NKhnULJh<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":11170,"template":"","class_list":["post-11303","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11303","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11303\/revisions"}],"predecessor-version":[{"id":11304,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11303\/revisions\/11304"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/11170"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11303"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}