Cisco IOS XEの重大な脆弱性が悪用され、BadCandyと呼ばれるインプラントが新たな攻撃の波でインストールされていると、オーストラリア政府当局の警告および複数のセキュリティ研究者が伝えています。
国家支援および犯罪者によるハッカーが、CVE-2023-20198として追跡されているこの脆弱性を悪用し、2023年から標的となったシステムにBadCandyをインストールしており、これらの攻撃は周期的に繰り返されています。
オーストラリア信号局は、7月以降、同国内で400台以上のデバイスが潜在的に侵害された可能性があると警告しました。金曜日に発表された勧告によると、10月時点で150台以上のデバイスが依然として侵害されたままでした。
Shadowserver Foundationは月曜日、脅威活動が世界中に広がっており、バックドアインプラントが残っているデバイスが15,000台以上可視化されていると警告しました。
この脆弱性はCVE-2023-20198として追跡されており、Cisco IOS XEソフトウェアのWebユーザーインターフェースを悪用し、重大度スコアは10です。2023年にゼロデイとして公開され、42,000台以上のデバイスが悪用されました。
今年初め、GreyNoiseの研究者が一連の攻撃を中国の国家支援グループであるSalt Typhoonに関連するキャンペーンに結び付け、米国の大手通信事業者を標的にしたキャンペーンに関連付けました。しかしGreyNoiseは、特定のグループへの攻撃の帰属は行っていないと述べています。
GreyNoiseの研究者は、現在の勧告に関連する活動を追跡しています。
「GreyNoiseはCVE-2023-20198に対するエクスプロイト試行を観測していますが、標的は過去90日間に観測された活動と一貫しており、BadCandyウェブシェルの展開は確認していません」と研究者はCybersecurity Diveにメールで述べました。
Rapid7は、研究者が中国と関連付ける国家支援アクターに関連する「CN Clustered activities」と呼ばれる活動を観測していますが、特定のグループに確定的に帰属することはできないと、Rapid7の脅威インテリジェンス&アナリティクス担当シニアディレクター、クリスティアン・ベーク氏がCybersecurity Diveに語りました。
ベーク氏は、スキャン活動と確認されたエクスプロイトの間には区別が重要であり、ポストエクスプロイト活動や特定のコマンド実行の確認がない限り、区別する必要があると警告しました。
サイバーセキュリティ・インフラセキュリティ庁(CISA)の広報担当者は、BadCandyに関連する脅威活動について新たな情報はないと述べました。
CISAは2023年にCiscoの脆弱性を既知の悪用済み脆弱性カタログに追加し、追加の緩和策ガイダンスを当時提供しました。
オーストラリア当局は、デバイスを再起動することで感染が除去されると述べています。ただし、攻撃者が認証情報にアクセスしたり、他の方法で永続化を維持した場合は、デバイス内にとどまる可能性があります。
編集者注:GreyNoiseからのコメントを追加しました。
翻訳元: https://www.cybersecuritydive.com/news/hackers-cisco-ios-xe-devices-badcandy-implant/804753/
