'Ruim 14.000 Cisco-routers geïnfecteerd met Badcandy-backdoor'

In dit artikel:

Onderzoek van The Shadowserver Foundation toont dat wereldwijd ruim 14.000 Cisco-routers en -switches besmet zijn met de Badcandy-backdoor; daarvan staan 129 in Nederland. De stichting voert sinds de ontdekking scans uit en meldt dat het aantal kwetsbare apparaten in de afgelopen drie maanden piekte rond 18.000 en sindsdien is gedaald. De meeste geïnfecteerde toestellen werden in Mexico en de Verenigde Staten aangetroffen. Eerder deze week waarschuwde ook de Australische overheid voor de backdoor.

De malware maakt gebruik van een in 2023 ontdekte kwetsbaarheid (CVE-2023-20198) in de web‑user‑interface van IOS XE, het besturingssysteem op Cisco‑routers en ‑switches. Die fout stelt een ongeauthenticeerde aanvaller in staat om een account met 'privilege 15' aan te maken en zo volledige controle over zowel fysieke als virtuele devices te krijgen; de zwakke plek heeft een maximale ernstscore van 10.0. Aanvallers installeren de Badcandy-backdoor en dichten vervolgens zelf de kwetsbaarheid op het apparaat — beide wijzigingen overleven een reboot niet — maar toegang kan blijven bestaan via gestolen inloggegevens of andere gebreken.

Organisaties met Cisco‑apparatuur wordt geadviseerd hun systemen te scannen, de relevante updates of mitigaties toe te passen, wachtwoorden en sleutels te roteren en netwerkverkeer te monitoren, omdat een simpele herstart onvoldoende zekerheid biedt tegen hernieuwde toegang.