Una nuova campagna di ransomware sta sfruttando una vulnerabilità critica in Cisco Secure Firewall Management Center (FMC), identificata come CVE-2026-20131 e valutata con punteggio CVSS 10.0. Il problema nasce da una deserializzazione non sicura di uno stream Java fornito dall’utente, che può consentire a un attaccante remoto non autenticato di aggirare i controlli di accesso ed eseguire codice Java con privilegi di root sul dispositivo esposto. In pratica, un singolo punto debole nel software di gestione dei firewall può trasformarsi in un accesso completo all’infrastruttura di sicurezza aziendale.

Le osservazioni raccolte tramite una rete globale di sensori hanno indicato che lo sfruttamento è avvenuto come zero-day già dal 26 gennaio 2026, quindi settimane prima della divulgazione pubblica. Questo elemento rende la minaccia particolarmente insidiosa perché riduce la finestra di reazione dei team di sicurezza e aumenta la probabilità di compromissioni silenziose. In scenari simili, anche programmi di patch management maturi possono risultare insufficienti nel periodo tra exploit e rilascio delle correzioni.

Catena di attacco osservata

La catena di attacco descritta parte con richieste HTTP appositamente costruite verso un percorso specifico di FMC per innescare l’esecuzione di codice. Dopo la compromissione, il sistema effettua una richiesta HTTP PUT verso un server esterno come segnale di riuscita, quindi riceve comandi per scaricare un binario ELF e ulteriori strumenti operativi.

Strumenti e attività post-compromissione

• Download e staging: ricezione di comandi per scaricare un binario ELF e tool aggiuntivi.
• Ricognizione in ambienti Windows: script PowerShell in grado di enumerare sistema, servizi, software, storage, macchine virtuali Hyper-V, file utente e artefatti dei browser, oltre a controllare connessioni di rete ed eventi RDP dai log.
• RAT personalizzati: trojan di accesso remoto in JavaScript e Java con funzioni di command and control, shell interattiva, esecuzione comandi, trasferimento file e proxy SOCKS5, includendo meccanismi di auto-aggiornamento e auto-cancellazione per ostacolare le analisi forensi.
• Mascheramento del traffico: script Bash che configura server Linux come reverse proxy HTTP con HAProxy, con routine aggressive di cancellazione log e soppressione della cronologia di shell.
• Persistenza/operatività: web shell residente in memoria con parametri cifrati e un beacon di rete per verificare esecuzione e raggiungibilità.

Azioni consigliate di mitigazione

In presenza di sfruttamento attivo è fondamentale applicare subito le patch Cisco, eseguire assessment mirati per individuare indicatori di compromissione e controllare eventuali installazioni non autorizzate di strumenti di accesso remoto legittimi come ScreenConnect. Una strategia di defense in depth con segmentazione, monitoraggio continuo e controlli multilivello aiuta a ridurre l’impatto anche quando una singola difesa fallisce o non è ancora disponibile una correzione.