Australië waarschuwt voor Cisco-routers besmet met Badcandy-malware

In dit artikel:

Het Australische Cyber Security Centre waarschuwt organisaties voor routers en switches van Cisco die geïnfecteerd zijn met de webshell "Badcandy". Aanvallers misbruiken een lek in Cisco IOS XE — geregistreerd als CVE-2023-20198 en met een ernstscore van 10.0 — waarmee via de webinterface zonder authenticatie een account met 'privilege 15' kan worden aangemaakt, wat volledige controle over het toestel mogelijk maakt. Zowel fysieke als virtuele apparaten met IOS XE lopen risico.

Cisco bracht in oktober 2023 beveiligingsupdates uit voor het lek; desondanks telde Australië in juli nog circa 400 geïnfecteerde routers, nu teruggelopen naar iets meer dan 150. Na toegang installeren de aanvallers een tijdelijke (niet-persistente) patch die het kwetsbare punt in de lopende sessie dichtzet; deze aanpassing verdwijnt echter bij een reboot. omdat Badcandy na herstart niet blijft bestaan, kunnen aanvallers die inloggegevens hebben gestolen of andere methodes voor blijvende toegang hebben gevonden alsnog toegang behouden.

De Australische overheid roept organisaties op de beveiligingsupdates van oktober 2023 (het eerder genoemde “twee jaar geleden” uitgegeven patchprogramma) te installeren en hun Cisco-apparaten te scannen op tekenen van compromittering. Getroffen Australische entiteiten zijn door het CSC geïnformeerd; eerder dit jaar meldde ook Canada een hack van een telecombedrijf via hetzelfde Cisco-lek. maatregelen: patchen, controleren op indicators of compromise en wachtwoorden/credentials herzien om blijvende toegang te verhinderen.