De mai bine de doi ani, atacuri cibernetice vizează rutearele Cisco IOS XE neactualizate din Australia, iar autoritățile locale trag un semnal de alarmă: webshell-ul BadCandy este folosit pentru a instala backdoor-uri și a prelua controlul dispozitivelor. Nu e o noutate, în octombrie 2023 Cisco a publicat un patch pentru o vulnerabilitate critică, CVE-2023-20198, însă exploit-urile publice rapide și lipsa actualizărilor pe multe echipamente au lăsat portițele deschise pentru atacuri repetate.
Vulnerabilitatea permite unui actor neautentificat să creeze un cont de administrator local prin interfața web și astfel să preia controlul dispozitivului. La scurt timp după lansarea patch-ului, un exploit public a declanșat o vală de compromiteri asupra dispozitivelor expuse direct la internet. BadCandy, un webshell scris în Lua, a fost folosit pe scară largă pentru a executa comenzi cu privilegii root. Paradoxal, implantul web dispare după repornire, dar asta nu garantează siguranța: dacă vulnerabilitatea nu este corectată și interfața web rămâne accesibilă, atacatorii pot reinstala foarte ușor implantul. E ca și cum ai încuia ușa, dar ai lăsat o fereastră deschisă.
Serviciile de securitate australiene, prin Australian Signals Directorate (ASD), estimează că din mijlocul anului 2025 peste 400 de dispozitive ar fi putut fi compromise cu BadCandy, iar la sfârșitul lui octombrie 2025 încă mai erau peste 150 de dispozitive infectate în țară. Deși numărul incidentelor scade, ASD observă re-exploatarea acelorași endpoint-uri chiar și după notificarea proprietarilor, ceea ce sugerează că atacatorii monitorizează eliminarea implantului și revin asupra acelorași echipamente.
Problema nu e doar tehnică: printre actorii care au exploatat această vulnerabilitate se regăsesc grupări susținute de state, precum gruparea denumită în unele rapoarte Salt Typhoon, atribuită campaniilor îndreptate împotriva unor mari furnizori de telecomunicații din SUA și Canada. Deși BadCandy poate fi folosit de oricine, analiza ASD arată că vârfurile recente de activitate corespund operațiunilor unor actori sponsorizati la nivel de stat.
Ca răspuns, ASD trimite notificări victimelor cu pași clari pentru aplicarea patch-urilor, consolidare și răspuns la incident. Pentru echipamentele ale căror proprietari nu pot fi identificați, agenția solicită furnizorilor de internet să contacteze utilizatorii în numele lor. Recomandarea generală rămâne neschimbată: urmați instrucțiunile Cisco și aplicați măsurile de hardening publicate pentru IOS XE. Patch-ul pentru CVE-2023-20198 a fost lansat în octombrie 2023, iar ghidurile de întărire ale Cisco descriu pașii concreți pentru reducerea suprafeței de atac.
În plus față de instalarea actualizărilor, măsurile practice includ restricționarea accesului la interfața web, utilizarea controalelor de acces bazate pe IP, monitorizarea activă a jurnalelor pentru activități neobișnuite și inventarieri periodice ale echipamentelor expuse la internet. Repetarea compromisurilor indică faptul că organizațiile trebuie să considere eliminarea webshell-ului doar o etapă; soluția reală constă în remedierea vulnerabilității și modificarea configurațiilor care permit accesul neautorizat.
BadCandy ilustrează clar cum un exploit public combinat cu device-uri neactualizate poate genera un val persistent de compromiteri. Datele ASD, peste 400 de dispozitive potențial compromise din iulie 2025 și totuși 150 active la sfârșitul lui octombrie 2025, arată că problema nu se rezolvă de la sine. Pentru administratorii de rețea, recomandarea e simplă teoretic, dar mai dificilă în practică: aplicați patch-urile, verificați configurațiile și monitorizați rețelele.
CVE-2023-20198 este identificatorul tehnic menționat, iar Cisco a publicat atât remediul, cât și un ghid detaliat de hardening pentru IOS XE. ASD trimite notificări și solicită colaborarea ISP-urilor pentru a comunica cu proprietarii dispozitivelor necunoscute. Aceste elemente, numele vulnerabilității, cifrele privind dispozitivele compromise, rapoartele ASD și recomandările Cisco, sunt punctele de referință pentru verificări și resurse utile într-o investigație.
Practic, ce înseamnă toate acestea pentru un administrator? În primul rând, verifică dacă ai echipamente IOS XE expuse la internet. În al doilea rând, asigură-te că patch-ul pentru CVE-2023-20198 este aplicat și urmează ghidul de hardening al Cisco. În al treilea rând, implementează monitorizare continuă și proceduri clare de notificare și răspuns. Periodic, fă inventarul echipamentelor publice și verifică dacă ISP-urile tale au primit instrucțiuni să notifice clienții potențial afectați.
ASD subliniază că mass-exploatarea are efecte concrete în rețele reale, la furnizori de servicii și la organizațiile dependente de infrastructura de routing. Observarea re-exploatării acelorași dispozitive după curățare indică o practică a atacatorilor de a urmări vulnerabilitățile ne-remediate, nu doar de a profita de breșe izolate. Exemplele din comunicarea ASD, cifrele despre dispozitive compromise și link-urile către ghidurile Cisco oferă un plan de acțiune clar pentru responsabilii de securitate.
Cisco IOS XE rămâne un element critic în multe rețele; CVE-2023-20198 și BadCandy transmit mesajul că patch-urile și controlul accesului nu sunt opțiuni, ci cerințe operaționale. Ce măsură vei lua acum pentru a verifica dacă rețeaua ta conține echipamente afectate?
Fii primul care comentează