オーストラリア政府は、国内の未修正のCisco IOS XEデバイスを標的とした継続的なサイバー攻撃について警告しており、これらのルーターがBadCandyウェブシェルに感染する危険性があるとしています。

これらの攻撃で悪用されている脆弱性はCVE-2023-20198で、最大深刻度の脆弱性です。リモートの認証されていない脅威アクターがウェブユーザーインターフェースを通じてローカル管理者ユーザーを作成し、デバイスを乗っ取ることが可能となります。

Ciscoは2023年10月にこの脆弱性を修正し、その後積極的に悪用されている問題としてマークされました。2週間後には公開エクスプロイトが登場し、インターネットに公開されたデバイスへのバックドア設置を目的とした大規模な悪用が加速しました。

オーストラリア当局は、同じLuaベースのBadCandyウェブシェルの亜種が2024年および2025年を通じて依然として攻撃に使用されており、多くのCiscoデバイスが未修正のままであることを示していると警告しています。

一度インストールされると、BadCandyはリモート攻撃者に対して、侵害されたデバイス上でroot権限でコマンドを実行することを可能にします。

ウェブシェルはデバイスの再起動時に消去されます。しかし、これらのデバイスにパッチが適用されておらず、ウェブインターフェースが引き続きアクセス可能な場合、攻撃者は容易に再導入することができます。

「2025年7月以降、ASDはオーストラリア国内で400台以上のデバイスがBADCANDYに感染した可能性があると評価しています」と公報は述べています。「2025年10月下旬時点でも、オーストラリア国内で150台以上のデバイスがBADCANDYに感染しています。」

感染数は減少傾向にあるものの、同機関は、侵害された組織が適切に警告されていたにもかかわらず、同じエンドポイントに対する脆弱性の再悪用の兆候を確認しています。

同機関によれば、攻撃者はBadCandyインプラントが削除されたことを検知し、同じデバイスを再び標的にして再導入することができるとしています。

継続する攻撃への対応として、オーストラリア信号局（ASD）は、パッチ適用、デバイスの強化、インシデント対応の手順を含む通知を被害者に送付しています。所有者が特定できないデバイスについては、ASDがインターネットサービスプロバイダーに対し、被害者への連絡を依頼しています。

ASDは、この脆弱性が過去に中国の「Salt Typhoon」などの国家アクターによって悪用されており、米国全土およびカナダの大手通信サービスプロバイダーに対する一連の攻撃の責任があると考えられていると述べています。

同機関は、理論上は誰でもBadCandyを利用できるものの、最近の急増は「国家支援のサイバーアクター」に起因すると考えています。

オーストラリアを含む世界中のCisco IOS XEシステム管理者は、セキュリティ公報に記載されたベンダーの緩和策に従うべきです。

Ciscoはまた、IOS XEデバイス向けの詳細なハードニングガイドも公開しています。