Vlada Australije upozorila je na aktuelne sajber napade koji ciljaju nezakrpljene Cisco IOS XE uređaje u zemlji, kako bi hakeri kompromitovali rutere pomoću webshell-a nazvanog BadCandy.
Ranjivost koja se koristi u ovim napadima označena je kao CVE-2023-20198, i riječ je o ozbiljnom propustu koji omogućava udaljenim, neautentifikovanim hakerima da putem web interfejsa kreiraju lokalnog administratorskog korisnika i preuzmu potpunu kontrolu nad uređajem.
Cisco je ispravku objavio još u oktobru 2023. godine, nakon što je ranjivost označena kao aktivno eksploatisana. Dvije sedmice kasnije pojavio se i javni exploit, što je dovelo do masovnih napada i postavljanja backdoora na uređajima izloženim internetu.
Australijske vlasti upozoravaju da se varijante istog Lua-baziranog BadCandy webshell-a i dalje koriste u napadima tokom 2024. i 2025. godine, što ukazuje da mnogi Cisco uređaji i dalje nisu zakrpljeni.
Nakon instalacije, BadCandy omogućava udaljenim napadačima izvršavanje komandi sa root privilegijama na kompromitovanim uređajima.
Webshell se briše sa uređaja nakon ponovnog pokretanja, ali s obzirom na to da uređaji nisu zakrpljeni, a web interfejs ostaje dostupan, napadači ga lako mogu ponovo ubaciti.
„Od jula 2025. godine ASD procjenjuje da je više od 400 uređaja potencijalno kompromitovano BadCandy webshell-om u Australiji“, navodi se u saopštenju. „Do kraja oktobra 2025. i dalje je preko 150 uređaja zaraženo BadCandy-jem.“
Iako broj infekcija opada, agencija bilježi znakove ponovnog iskorišćavanja iste ranjivosti na već pogođenim uređajima, čak i nakon što su pogođene organizacije bile obaviještene.
Prema izvještaju ASD-a, napadači mogu detektovati kada je BadCandy uklonjen i ciljano ponovo kompromitovati isti uređaj.
Kao odgovor na ove napade, Australska direkcija za signale (ASD) šalje obavještenja žrtvama sa uputstvima o zakrpama, jačanju bezbjednosti uređaja i sprovođenju incident response postupaka. Za uređaje čiji vlasnici nisu poznati, ASD traži od internet provajdera da kontaktiraju pogođene korisnike u njihovo ime.
Agencija navodi da su ovu ranjivost ranije koristili državni hakeri poput kineske grupe „Salt Typhoon“, koja se dovodi u vezu sa nizom napada na velike telekom operatere u SAD i Kanadi.
ASD vjeruje da, iako BadCandy teoretski može koristiti bilo ko, najnoviji talasi napada potiču od „državno sponzorisanih hakera“.
Administratori Cisco IOS XE sistema širom svijeta, uključujući Australiju, trebalo bi da prate preporuke iz bezbjednosnog biltena proizvođača. Cisco je takođe objavio detaljno uputstvo za jačanje bezbjednosti IOS XE uređaja.
Izvor: BleepingComputer
