Cục Tín hiệu Úc (ASD) đã ban hành một bản tin về các cuộc tấn công mạng đang diễn ra nhằm vào các thiết bị Cisco IOS XE chưa được vá lỗi trong nước bằng một implant chưa được ghi nhận trước đây, được gọi là BADCANDY.
Hoạt động này, theo cơ quan tình báo, liên quan đến việc khai thác CVE-2023-20198 (điểm CVSS: 10.0), một lỗ hổng nghiêm trọng cho phép kẻ tấn công từ xa, không cần xác thực tạo tài khoản với đặc quyền nâng cao và sử dụng nó để chiếm quyền kiểm soát các hệ thống dễ bị tổn thương.
Lỗ hổng bảo mật này đã bị khai thác tích cực trong thực tế kể từ cuối năm 2023, với các nhóm threat actor liên kết với Trung Quốc như Salt Typhoon đã vũ khí hóa nó trong những tháng gần đây để xâm nhập các nhà cung cấp dịch vụ viễn thông.
ASD lưu ý rằng các biến thể của BADCANDY đã được phát hiện kể từ tháng 10 năm 2023, với một loạt cuộc tấn công mới tiếp tục được ghi nhận vào năm 2024 và 2025. Ước tính có tới 400 thiết bị ở Úc đã bị thỏa hiệp với malware này kể từ tháng 7 năm 2025, trong đó 150 thiết bị bị nhiễm chỉ riêng trong tháng 10.
BADCANDY là một web shell dựa trên Lua có giá trị thấp, và các cyber actor thường áp dụng một bản patch không dai dẳng sau khi thỏa hiệp để che giấu tình trạng lỗ hổng của thiết bị liên quan đến CVE-2023-20198. Trong những trường hợp này, sự hiện diện của implant BADCANDY cho thấy thiết bị Cisco IOS XE đã bị thỏa hiệp, thông qua CVE-2023-20198.
Việc thiếu cơ chế persistence có nghĩa là nó không thể tồn tại qua các lần khởi động lại hệ thống. Tuy nhiên, nếu thiết bị vẫn chưa được vá lỗi và tiếp xúc với internet, threat actor có thể đưa malware trở lại và giành quyền truy cập vào thiết bị.
ASD đã đánh giá rằng các threat actor có khả năng phát hiện khi implant bị gỡ bỏ và lại lây nhiễm vào các thiết bị. Điều này dựa trên thực tế là việc khai thác lại đã xảy ra trên các thiết bị mà cơ quan này trước đây đã gửi thông báo cho các tổ chức bị ảnh hưởng.
Mặc dù vậy, việc khởi động lại sẽ không hoàn tác các hành động khác do những kẻ tấn công thực hiện. Do đó, điều cần thiết là các nhà vận hành hệ thống phải áp dụng các bản vá lỗi, hạn chế phơi bày giao diện người dùng web ra công chúng và tuân thủ các hướng dẫn hardening cần thiết do Cisco ban hành để ngăn chặn các nỗ lực khai thác trong tương lai.
Một số hành động khác được cơ quan này nêu ra được liệt kê dưới đây -
- Xem lại cấu hình đang chạy cho các tài khoản có privilege 15 và loại bỏ các tài khoản không mong muốn hoặc không được phê duyệt
- Xem lại các tài khoản có chuỗi ngẫu nhiên hoặc "cisco_tac_admin," "cisco_support," "cisco_sys_manager," hoặc "cisco" và loại bỏ chúng nếu không hợp lệ
- Xem lại cấu hình đang chạy cho các giao diện tunnel không xác định
- Xem lại logging accounting lệnh TACACS+ AAA để biết các thay đổi cấu hình, nếu được bật
