Ransomware : une vulnérabilité inédite exploitée 36 jours avant d’être rendue publique

Une fenêtre d’opportunité critique : 0-day et exploitation anticipée

La campagne menée par Interlock se distingue donc par l’utilisation proactive de la CVE-2026-20131 alors qu’elle était encore inédite – ou 0-day. Cette période de 36 jours constitue une fenêtre d’opportunité critique durant laquelle les attaquants ont opéré sans aucune mesure de défense corrective disponible.

Cette découverte révèle que le groupe criminel disposait d’une information exclusive lui conférant un avantage temporel significatif. Comme l’indiquent les analystes d’AWS : « Interlock exploitait cette vulnérabilité 36 jours avant sa divulgation publique. Ce n’était pas simplement l’exploitation d’une vulnérabilité ; Interlock disposait d’un 0-day, ce qui leur a donné une avance d’une semaine pour compromettre des organisations avant même que les défenseurs ne sachent quoi chercher ».

Cette situation illustre la limite inhérente des programmes de gestion de vulnérabilité traditionnels, qui reposent sur une corrélation temporelle entre la découverte de la faille et la disponibilité du correctif. En l’absence de correctif, la surface d’attaque reste ouverte aux opérateurs disposant de cette connaissance.

La vulnérabilité, décrite par Cisco comme une exécution de code arbitraire via une désérialisation non sécurisée de données Java dans l’interface de gestion web, offre un vecteur d’attaque direct. Elle permet à un attaquant non authentifié d’exécuter du code Java en tant que root sur le dispositif, maximisant ainsi l’impact sur la confidentialité, l’intégrité et la disponibilité.

L’absence de contournement temporaire, confirmée par l’avis de sécurité de Cisco, transforme l’exploitation de cette faille en une menace critique, car aucune mitigation de configuration ne peut réduire le risque sans l’application d’un correctif logiciel.

Anatomie d’une chaîne d’attaque multi-étapes

L’analyse des artefacts récupérés par AWS a permis de reconstituer une chaîne d’attaque sophistiquée. L’incident a débuté par l’exploitation du CVE-2026-20131, menant à une compromission initiale. La véritable dangerosité de la campagne réside cependant dans la méthodologie de persistance et d’évasion. Les attaquants ont déployé un kit opérationnel complet, exposé fortuitement en raison d’une infrastructure de test inadéquate, offrant une vision inédite de leurs opérations.

La persistance est assurée par une architecture de portes dérobées multi-langages. Deux implants de type Remote Access Trojan (RAT), codés respectivement en JavaScript et en Java, ont été observés. Ces implants offrent des capacités fonctionnelles identiques : accès shell interactif, exécution de commandes arbitraires, transfert de fichiers bidirectionnel et fonctionnalité proxy SOCKS5. L’existence de deux versions parallèles assure une résilience opérationnelle ; si l’une est détectée, l’autre maintient le point d’accès. Une redondance qui illustre une planification défensive de l’attaquant.

L’effacement des traces est un pilier central de sa stratégie. Un script Bash configure des serveurs Linux comme proxys HTTP inverses (HAProxy) pour masquer l’origine des communications de commande et de contrôle. Il inclut une routine de destruction de preuves exécutée toutes les cinq minutes, tronquant les fichiers de journal et masquant l’historique des commandes. Cette activité est décrite comme : « une routine de destruction de logs s’exécutant en tant que tâche planifiée toutes les cinq minutes. Cette destruction agressive des preuves, combinée au proxy de transfert de trafic dédié, indique que le script établit des nœuds de relais de trafic jetables ».

L’usage d’outils légitimes est systémique pour diluer le bruit malveillant. Interlock utilise ConnectWise ScreenConnect, un outil de bureau à distance commercial, en parallèle de ses malwares. « Lorsque les opérateurs de rançongiciels déploient des outils d’accès à distance légitimes en parallèle de leurs malwares personnalisés, ils achètent une forme d’assurance », notent les analystes.

De plus, l’outil de forensic Volatility est présent dans l’arsenal, suggérant une capacité à analyser la mémoire vive pour l’élévation de privilèges. Enfin, l’outil Certify est utilisé pour exploiter les services de certificats Active Directory, consolidant le contrôle sur l’infrastructure.

Impacts opérationnels et stratégie de réponse

L’impact de cette campagne dépasse la simple compromission technique pour toucher la viabilité opérationnelle. Interlock cible préférentiellement les secteurs où la rupture d’activité génère une pression immédiate pour le paiement de la rançon, notamment l’éducation, l’ingénierie, la fabrication, la santé et le secteur public.

Au-delà du chiffrement des données, les notes de rançon intègrent des références aux réglementations sur la protection des données, menaçant explicitement les victimes d’amendes. « La note de rançon invoque plusieurs réglementations sur la protection des données, reflétant la pratique documentée d’Interlock de citer l’exposition réglementaire pour faire pression sur les victimes », soulignent les analystes.

Pour les entreprises, la stratégie de réponse doit reposer sur une action immédiate. L’avis de sécurité de Cisco est sans équivoque quant à l’absence de solution de contournement. Par conséquent, l’application des correctifs est l’action prioritaire. 

Mais une stratégie de détection avancée est nécessaire pour détecter des compromissions antérieures. Cela commence par surveillance de traces comportementales spécifiques : l’installation de services de proxys inconnus avec des tâches planifiées de suppression de logs, etc. « Les organisations doivent examiner les journaux pour les indicateurs de compromission, et mener des évaluations de sécurité afin d’identifier les compromissions potentielles », concluent les recommandations d’AWS.

Enfin, la leçon majeure réside dans l’impératif de la défense en profondeur. Face à des vulnérabilités inédites exploitées avant la disponibilité des correctifs, la dépendance exclusive aux correctifs est insuffisante. La mise en place de contrôles de sécurité multicouches, incluant une journalisation centralisée et des tests réguliers des procédures de réponse aux incidents, constitue la seule garantie de résilience.

Comme le souligne le rapport d’AWS : « le véritable défi du 0-day est la capacité de chaque modèle de sécurité à résister lorsque le correctif n’est pas encore disponible. C’est précisément pour cela que la défense en profondeur est essentielle ».