ASD Warns of Ongoing BADCANDY Attacks Exploiting Cisco IOS XE Vulnerability

1 minute de lecture

Mis à jour : November 01, 2025

BADCANDY : Le Cheval de Troie qui Cible les Équipements Cisco IOS XE

Des cyberattaques sont en cours en Australie, visant les appareils Cisco IOS XE non corrigés avec une nouvelle porte dérobée, nommée BADCANDY. Ces attaques exploitent une vulnérabilité critique dans Cisco IOS XE.

Points Clés :

L’Australian Signals Directorate (ASD) a émis un bulletin d’alerte concernant ces attaques continues.
BADCANDY est une porte dérobée web basée sur Lua, de faible persistance. Elle peut être masquée par les attaquants après compromission.
Des acteurs malveillants liés à la Chine, tels que Salt Typhoon, sont identifiés comme utilisant cette vulnérabilité pour s’infiltrer chez des fournisseurs de télécommunications.
La porte dérobée BADCANDY est détectée depuis octobre 2023, avec une recrudescence en 2024 et 2025. Jusqu’à 400 appareils en Australie auraient été compromis, dont 150 en octobre 2025.
Bien que BADCANDY ne survive pas à un redémarrage, les attaquants peuvent réintroduire le malware si l’appareil reste vulnérable et exposé. Ils réagissent également à la suppression de l’implant en infectant à nouveau les appareils.

Vulnérabilités :

CVE-2023-20198 : Une vulnérabilité critique (score CVSS de 10.0) permettant à un attaquant distant et non authentifié de créer un compte avec des privilèges élevés et de prendre le contrôle du système.

Recommandations :

Appliquer les correctifs de sécurité recommandés par Cisco pour la vulnérabilité CVE-2023-20198.
Limiter l’exposition publique de l’interface utilisateur web des appareils.
Suivre les directives de renforcement (hardening) publiées par Cisco pour les équipements IOS XE.
Vérifier la configuration système pour identifier et supprimer les comptes non autorisés ou suspects (notamment ceux avec le privilège 15, ou nommés “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager”, ou “cisco” s’ils ne sont pas légitimes).
Examiner la configuration système à la recherche d’interfaces tunnel inconnues.
Analyser les journaux d’audit des changements de configuration via TACACS+ AAA, si activé.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

ASD Warns of Ongoing BADCANDY Attacks Exploiting Cisco IOS XE Vulnerability

BADCANDY : Le Cheval de Troie qui Cible les Équipements Cisco IOS XE

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast