BadCandy Webshell ameaça dispositivos Cisco IOS XE não corrigidos, alerta governo australiano

BadCandy Webshell ameaça dispositivos Cisco IOS XE não corrigidos, alerta governo australiano

A Austrália alerta sobre ataques a dispositivos Cisco IOS XE não corrigidos que exploram o CVE-2023-20198, permitindo a instalação do webshell do BadCandy.

A Diretoria Australiana de Sinais (ASD) alerta sobre ataques contínuos a dispositivos Cisco IOS XE não corrigidos que exploram CVE-2023-20198, permitindo infecções do webshell do BadCandy e controle do administrador.

“Os atores cibernéticos estão instalando um implante apelidado de ‘BADCANDY’ em dispositivos Cisco IOS XE vulneráveis ao CVE-2023-20198. Variações do implante BADCANDY foram observadas desde outubro de 2023, com atividade renovada notável ao longo de 2024 e 2025.” lê o alerta emitido pelo ASD.

Um invasor pode explorar a vulnerabilidadeCVE-2023-20198(pontuação CVSS 10) em seu software IOS XE para obter privilégios de administrador e assumir roteadores vulneráveis. O Consultivopublicado pelo fornecedor afirma que a exploração da vulnerabilidade permite que um invasor remoto e não autenticado crie uma conta em um sistema afetado com acesso de nível de privilégio 15.

A falha afeta dispositivos físicos e virtuais executados com o recurso Web User Interface (Web UI) ativado e que possuem o recurso HTTP ou HTTPS Server em uso.

Desde julho de 2025, a agência australiana observou mais de 400 dispositivos potencialmente comprometidos com o BADCANDY no país. No final de outubro de 2025, mais de 150 dispositivos comprometidos com BADCANDY na Austrália ainda estavam expostos online.

BADCANDY é um webshell baseado em Lua que explora CVE-2023-20198 em dispositivos Cisco IOS XE. Não é persistente após a reinicialização, mas os invasores podem reter o acesso por meio de credenciais roubadas. Corrigir e restringir o acesso à interface do usuário da Web é necessário para evitar a reexploração.

“A ASD acredita que os atores são capazes de detectar quando o implante BADCANDY é removido e estão reexplorando os dispositivos. Isso destaca ainda mais a necessidade de corrigir o CVE-2023-20198 para evitar a reexploração.” continua o alerta.

O ASD está notificando as entidades afetadas, fornecendo orientação de aplicação de patches, reinicialização, proteção e resposta a incidentes. A agência continuará alertando para garantir que as operadoras saibam que seus dispositivos foram comprometidos.

Especialistas do governo recomendam que as operadoras removam o BADCANDY revisando e excluindo contas privilegiadas não autorizadas, verificando interfaces de túneis desconhecidas e monitorando alterações de configuração por meio do registro TACACS+.

As organizações devem seguir Diretrizes da Cisco: desative o recurso de servidor HTTP e aplique o guia de proteção do IOS XE para evitar futuros comprometimentos do BADCANDY.

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking,Cisco IOS XE)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.