O mês de março de 2026 marcou um dos períodos mais ativos para exploração de vulnerabilidades no ano, com pesquisadores de segurança rastreando 31 falhas de alto impacto utilizadas contra sistemas reais. Entre os fabricantes afetados, destacam-se Cisco, Microsoft, Google, Apple, Langflow, ConnectWise e Citrix. O destaque mais preocupante deste cenário foi a exploração de um zero-day no Cisco Secure Firewall Management Center (FMC) pelo grupo de ransomware Interlock, antes mesmo da publicação de um patch oficial.
Descoberta e escopo da campanha Interlock
A exploração da vulnerabilidade CVE-2026-20131 começou em 26 de janeiro de 2026, semanas antes do advisory de segurança da Cisco ser publicado em 4 de março. Isso indica que o grupo Interlock operou dentro de redes empresariais utilizando uma falha que os defensores não conheciam oficialmente e para a qual não havia correção disponível. A falha é classificada como uma deserialização não confiável de dados (CWE-502) e possui um Recorded Future Risk Score de 99, o mais alto possível.
O mecanismo de ataque é direto, mas altamente eficaz. Um ator malicioso não autenticado envia uma solicitação HTTP especialmente elaborada para a interface de gerenciamento web do FMC. Como a plataforma falha em validar corretamente os fluxos de bytes Java fornecidos pelo usuário, o atacante pode injetar um objeto Java serializado que a aplicação processa e executa como código de nível root.
Após a exploração inicial, o atacante baixa um binário ELF malicioso de um servidor de staging para suportar operações subsequentes dentro da rede. Uma vez dentro, o grupo Interlock utiliza trojans de acesso remoto (RATs) personalizados baseados em Java e JavaScript, além de uma web shell residente na memória, para permanecer oculto e mover-se lateralmente pela rede.
Contexto das 31 vulnerabilidades exploradas
Além do zero-day do Cisco, a análise da Recorded Future identificou que 29 das 31 vulnerabilidades tinham um "Very Critical" Risk Score, indicando que a probabilidade de exploração já era alta no momento da descoberta. Todos os 31 itens viram exploração ativa durante março, um ritmo que deixa pouca margem para as equipes de segurança responderem.
Um ponto de dados striking é a inclusão da CVE-2017-7921, uma vulnerabilidade afetando câmeras IP Hikvision com aproximadamente nove anos de idade. O fato de atacantes ainda explorarem ativamente essa falha em ambientes onde o patch nunca foi aplicado conta uma história maior sobre o estado real da gestão de vulnerabilidades nas empresas: a idade não reduz o risco quando os sistemas permanecem desatualizados e expostos.
Entre as outras falhas críticas, nove CVEs permitiram execução remota de código (RCE) em produtos de Google, Langflow, Craft CMS, Laravel, Microsoft, n8n, SolarWinds e Apple. Além disso, duas vulnerabilidades e um kit de exploração multi-componente foram diretamente conectados a campanhas de malware ativas, incluindo uma exploração completa de cadeia para iOS chamada DarkSword.
Impacto e implicações para CISOs
A exploração do Cisco FMC é particularmente perigosa porque a própria infraestrutura de segurança de rede se torna o ponto de entrada. Administradores de segurança que confiam no FMC para gerenciar políticas de firewall e monitorar eventos podem inadvertidamente conceder acesso total aos atacantes.
Para os CISOs, a lição é clara: não se deve descartar uma CVE antiga baseada apenas em sua data. O que importa é se ela ainda pode ser alcançada e explorada. A prioridade deve ser a aplicação de patches para componentes críticos de rede e a monitoração de tráfego anômalo para interfaces de gerenciamento.
Medidas de mitigação recomendadas
As equipes de segurança devem aplicar as correções fornecidas pela Cisco assim que disponíveis. Enquanto isso, recomenda-se restringir o acesso à interface web do FMC a redes de gerenciamento seguras e monitorar logs de acesso para tentativas de requisições HTTP incomuns. A desativação temporária de serviços não essenciais pode reduzir a superfície de ataque até que o patch seja aplicado.