Кибербезопасность Австралии столкнулась с масштабной кампанией эксплуатации критической уязвимости в устройствах Cisco IOS XE, где злоумышленники устанавливают вредоносный имплант BADCANDY. Австралийское управление сигналов (ASD) подтвердило, что по состоянию на конец октября 2025 года более 150 устройств остаются скомпрометированными на территории страны, несмотря на продолжающиеся усилия по устранению последствий, начатые после первого случая эксплуатации уязвимости в октябре 2023 года.
Детали
Имплант BADCANDY представляет собой сложную, но доступную угрозу для организаций, использующих Cisco IOS XE Software с возможностями веб-интерфейса. Этот веб-шелл на основе Lua эксплуатирует CVE-2023-20198 - критическую уязвимость, позволяющую удаленным злоумышленникам без аутентификации создавать привилегированные учетные записи и устанавливать полный контроль над уязвимыми системами.
Особую озабоченность вызывает систематический подход злоумышленников к сокрытию своей деятельности. После первоначального компрометирования атакующие обычно применяют неперсистентный патч, маскирующий статус уязвимости устройства, что значительно затрудняет обнаружение для защитников сетей. По оценкам ASD, с июля 2025 года более 400 австралийских устройств потенциально были скомпрометированы с помощью BADCANDY, демонстрируя масштабы и устойчивость этой кампании эксплуатации.
Исследователи безопасности документировали постоянное появление вариантов импланта BADCANDY на протяжении 2024 и 2025 годов, что указывает на продолжающуюся разработку и развертывание несколькими группами угроз. Хотя BADCANDY классифицируется как имплант с низкой устойчивостью, который не сохраняется после перезагрузки устройства, его неперсистентная природа мало утешает специалистов по безопасности.
Уязвимость привлекла внимание как криминальных синдикатов, так и государственных групп угроз, включая печально известную группу SALT TYPHOON, и была признана одной из наиболее часто эксплуатируемых уязвимостей в 2023 году. После получения первоначального доступа через эксплуатацию CVE-2023-20198 злоумышленники часто собирают учетные данные или устанавливают альтернативные механизмы сохранения доступа, которые работают даже после удаления импланта BADCANDY.
Это создает сценарии, при которых атакующие сохраняют доступ к скомпрометированным сетям долгое время после устранения первоначального вектора заражения, обеспечивая возможность бокового перемещения, экстракции данных и долгосрочных операций по шпионажу. ASD наблюдает тревожную схему повторной эксплуатации ранее скомпрометированных устройств, где организации не смогли применить необходимые патчи или оставили веб-интерфейс открытым для интернет-трафика.
Аналитики кибербезопасности считают, что злоумышленники разработали возможности обнаружения, которые предупреждают их об удалении имплантов BADCANDY, запуская немедленные попытки повторной эксплуатации. Это создает опасный цикл, когда организации, которые просто перезагружают устройства без устранения основной уязвимости, снова оказываются скомпрометированными.
Австралийские органы кибербезопасности проводят комплексные кампании по уведомлению жертв через поставщиков услуг, призывая организации внедрить немедленные защитные меры. Критически важные действия включают проверку работающих конфигураций на наличие учетных записей с привилегиями уровня 15 с подозрительными именами, такими как "cisco_tac_admin", "cisco_support", "cisco_sys_manager" или случайными строками символов, и удаление любых несанкционированных учетных записей.
Организации также должны проверить конфигурации на наличие неизвестных туннельных интерфейсов и проанализировать логи учета команд TACACS+ AAA на предмет доказательств несанкционированных изменений конфигурации. Самой важной защитной мерой остается применение официального патча Cisco для CVE-2023-20198, доступного через консультации по безопасности компании для множественных уязвимостей в функциях веб-интерфейса Cisco IOS XE Software.
Хотя перезагрузка скомпрометированных устройств удалит имплант BADCANDY, это действие само по себе обеспечивает недостаточную защиту без установки патчей и надлежащего усиления защиты. Организации должны отключить функцию HTTP server (HTTP-сервера), если она не требуется в операционных целях, и внедрить комплексные стратегии безопасности пограничных устройств в соответствии с руководством по усилению защиты Cisco IOS XE.
Постоянное снижение с более чем 400 скомпрометированных устройств в конце 2023 года до менее 200 в 2025 году демонстрирует прогресс, однако устойчивые колебания в данных о компрометации указывают на продолжающуюся активность повторной эксплуатации. Поскольку пограничные устройства представляют собой критически важные компоненты сети, обеспечивающие периметровую безопасность, организации должны уделять первоочередное внимание немедленному устранению последствий, чтобы ликвидировать этот устойчивый вектор угроз, который продолжает подвергать опасности австралийские сети и глобальную инфраструктуру.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2023-20198
- https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/badcandy
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
