La Dirección de Señales de Australia (ASD) ha publicado información sobre un ciberataque en curso dirigido a dispositivos Cisco IOS XE sin parches en el país y a un implante previamente indocumentado conocido como BADCANDY.
Según la comunidad de inteligencia, esta actividad incluyó la explotación de CVE-2023-20198 (puntaje CVSS: 10.0), una vulnerabilidad crítica que permite a un atacante remoto no autenticado crear una cuenta con privilegios elevados y usarla para tomar el control de un sistema susceptible.
Esta falla de seguridad ha sido explotada activamente desde el año pasado en 2023, y actores de amenazas vinculados a China, como Salt Typhoon, la han utilizado como arma para infiltrarse en proveedores de telecomunicaciones en los últimos meses.
ASD señaló que se han detectado variantes de BADCANDY desde octubre de 2023 y que se siguen registrando nuevos ataques en 2024 y 2025. Se estima que hasta 400 dispositivos en Australia se han visto comprometidos por el malware desde julio de 2025, con 150 dispositivos infectados solo en octubre.
«BADCANDY es un shell web de bajo capital basado en Lua al que los ciberatacantes suelen aplicar parches no persistentes después de una infracción para ocultar el estado de vulnerabilidad de los dispositivos relacionados con CVE-2023-20198», decía el periódico. «En estos ejemplos, la presencia del implante BADCANDY indica un compromiso de los dispositivos Cisco IOS XE con CVE-2023-20198».
La falta de un mecanismo de persistencia significa que no puede sobrevivir a un reinicio del sistema. Sin embargo, si un dispositivo no se parchea y se expone a Internet, los actores de amenazas pueden reintroducir malware y recuperar el acceso al dispositivo.
ASD ha evaluado que los actores de amenazas pueden detectar cuándo se retira el implante y el dispositivo se reinfecta. Esto se basa en que la reexplotación se produjo en un dispositivo por el cual las autoridades habían emitido previamente un aviso a las organizaciones afectadas.
Dicho esto, un reinicio no deshará ninguna otra acción realizada por el atacante. Por lo tanto, es importante que los operadores del sistema apliquen parches, limiten la exposición de la interfaz de usuario web y sigan las pautas de refuerzo necesarias emitidas por Cisco para evitar futuros intentos de explotación.
Algunas de las otras medidas descritas por la agencia se enumeran a continuación.
Verifique la configuración en ejecución para cuentas con privilegio 15 y elimine cualquier cuenta inesperada o no autorizada. Busque cuentas que contengan cadenas aleatorias o «cisco_tac_admin», «cisco_support», «cisco_sys_manager» o «cisco» y elimínelas si no son legítimas. Verifique la configuración en ejecución de la interfaz del túnel desconocido. Verifique el registro de contabilidad de comandos TACACS+ AAA para ver los cambios de configuración (si está habilitado).
Source link
