Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

ASD предупредува за тековни BADCANDY напади кои ја искористуваат ранливоста во Cisco IOS XE

Објавено: 03.11.2025

Австралиската дирекција за сигнали (ASD) издаде билтен за тековни сајбер напади насочени кон незакрпени Cisco IOS XE уреди во земјата, со претходно недокументиран имплант познат како BADCANDY.

Според разузнавачката агенција, активноста вклучува искористување на CVE-2023-20198 (CVSS оцена: 10.0) — критична ранливост која му овозможува на далечински, неавтентициран напаѓач да креира сметка со високи привилегии и да преземе контрола врз ранливите системи.

Овој безбедносен пропуст е под активна експлоатација уште од крајот на 2023 година, при што актери поврзани со Кина, како Salt Typhoon, го користат во последните месеци за да продрат во телекомуникациски компании. АСД забележа дека варијации на BADCANDY се откриени уште од октомври 2023 година, а нови напади се евидентирани и во 2024 и 2025 година. Проценето е дека околу 400 уреди во Австралија биле компромитирани со овој малициозен софтвер од јули 2025 година, од кои 150 уреди биле заразени само во октомври.

BADCANDY е веб-школка (web shell) базирана на Lua, со ниско ниво на перзистентност, а сајбер актерите обично применуваат непостојана закрпа по компромитирањето за да го прикријат статусот на ранливоста поврзан со CVE-2023-20198,“ соопшти АСД. „Во овие случаи, присуството на BADCANDY имплантот укажува на компромитација на Cisco IOS XE уред преку CVE-2023-20198.“

Отсуството на механизам за постојаност значи дека малициозниот код не може да преживее рестартирање на системот. Сепак, ако уредот остане незакрпен и изложен на интернет, постои можност напаѓачот повторно да го воведе малверот и да ја врати контролата.

АСД процени дека заканувачите можат да детектираат кога имплантот е отстранет и повторно да ги инфицираат уредите. Ова е засновано врз фактот дека повторни компромитации се забележани кај уреди за кои агенцијата претходно испратила известувања до засегнатите субјекти.

Сепак, рестартирањето не ги поништува другите активности кои ги извршиле напаѓачите. Затоа е клучно операторите на системи да:

  • ги применат потребните безбедносни закрпи,
  • го ограничат јавниот пристап до веб-корисничкиот интерфејс,
  • и да ги следат препораките за зајакнување на безбедноста што ги издава Cisco за спречување на идни обиди за експлоатација.

Неколку други препорачани активности според агенцијата се:

  • Преглед на активната конфигурација за сметки со привилегија 15 и отстранување на неочекувани или неовластени сметки.
  • Проверка на сметки со случајни имиња или оние наречени „cisco_tac_admin“, „cisco_support“, „cisco_sys_manager“ или „cisco“, и нивно бришење доколку не се легитимни.
  • Преглед на активната конфигурација за непознати тунел интерфејси.
  • Преглед на TACACS+ AAA логови за промени во конфигурацијата, доколку оваа функција е овозможена.

Извори:

  • The Hacker News – „ASD Warns of Ongoing BADCANDY Attacks Exploiting Cisco IOS XE Vulnerability“ The Hacker News