Австралийские власти предупреждают о новой волне атак с использованием вируса BadCandy на уязвимые устройства Cisco

Правительство Австралии зафиксировало продолжающиеся кибератаки на уязвимые маршрутизаторы с операционной системой Cisco IOS XE. По данным Австралийского управления радиотехнической обороны (ASD), целью злоумышленников остаются устройства, не получившие обновления после обнаружения критической уязвимости CVE-2023-20198. Через неё на оборудование устанавливается вредоносный веб-шелл BadCandy, который даёт удалённый доступ с правами root.

Уязвимость CVE-2023-20198 позволяет неаутентифицированному удалённому пользователю создать локального администратора через веб-интерфейс и полностью захватить управление устройством. Cisco устранила эту ошибку в октябре 2023 года, но уже через две недели после релиза патча в открытом доступе появился эксплойт. Это привело к резкому всплеску атак, в том числе на сетевую инфраструктуру Австралии.

ASD предупреждает, что атаки с использованием вариаций BadCandy на базе языка Lua продолжаются в 2024 и 2025 годах. Заражение позволяет злоумышленникам незаметно запускать команды с системными привилегиями. При этом сам вредоносный компонент удаляется после перезагрузки устройства, но, при отсутствии установленного патча, атакующие могут легко загрузить его повторно через тот же интерфейс.

По оценке австралийских властей, с июля 2025 года потенциально были скомпрометированы более 400 устройств, подключённых к интернету. К концу октября их число снизилось до 150, однако агентство фиксирует повторное использование одной и той же уязвимости на одних и тех же устройствах, несмотря на направленные уведомления владельцам.

Серьёзную озабоченность вызывает тот факт, что злоумышленники отслеживают удаление вредоносных модулей и возвращаются к ранее взломанным устройствам, устанавливая BadCandy снова. Эта активность указывает на высокий уровень подготовки атакующих и наличие устойчивых каналов наблюдения.

В ответ ASD разослала уведомления администраторам затронутых устройств с инструкциями по обновлению систем, повышению уровня безопасности и реагированию на инциденты. В случаях, когда владельцев оборудования установить невозможно, агентство просит провайдеров связи связаться с клиентами самостоятельно.