Source et contexte: cyber.gov.au (Australian Government/ASD) publie une alerte sur l’implant « BADCANDY » observé depuis octobre 2023, avec une activité renouvelée en 2024‑2025, ciblant des équipements Cisco IOS XE vulnérables à CVE‑2023‑20198.

⚠️ L’ASD décrit BADCANDY comme un web shell Lua « low equity » installé après exploitation de l’interface Web (UI) de Cisco IOS XE. Les acteurs appliquent souvent un patch non persistant post‑compromission pour masquer l’état de vulnérabilité lié à CVE‑2023‑20198. La présence de BADCANDY indique une compromission via cette faille. L’implant ne persiste pas après redémarrage, mais des accès peuvent perdurer si des identifiants ou d’autres mécanismes de persistance ont été acquis; le correctif de CVE‑2023‑20198 doit être appliqué et l’accès à l’UI Web restreint.

📊 Impact en Australie: depuis juillet 2025, l’ASD estime plus de 400 appareils potentiellement compromis; plus de 150 restaient compromis fin octobre 2025. Malgré un déclin depuis fin 2023, des fluctuations persistent, attribuées à des ré‑exploitations. L’ASD pense que les acteurs détectent la suppression de BADCANDY et reviennent compromettre les mêmes appareils non corrigés.

🎯 Acteurs et exploitation: la vulnérabilité CVE‑2023‑20198 permet à un utilisateur distant non authentifié de créer un compte hautement privilégié et de prendre le contrôle du système. Elle a été exploitée par des acteurs tels que SALT TYPHOON et faisait partie des failles les plus exploitées en 2023. L’ASD indique une exploitation toujours en cours et estime que des acteurs criminels et étatiques peuvent utiliser l’implant.

🛠️ Mesures recommandées (extrait de l’alerte ASD):

  • Appliquer le patch contre CVE‑2023‑20198 et suivre l’avis sécurité Cisco (« Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature »). Restreindre/désactiver l’UI Web (HTTP server) selon le guide de durcissement Cisco IOS XE.
  • Redémarrer l’appareil (supprime l’implant, mais n’annule pas les autres actions malveillantes ni la vulnérabilité initiale).
  • Examiner la running‑config pour des comptes privilège 15 inattendus et les supprimer; vérifier notamment: “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager”, “cisco”.
  • Rechercher des interfaces tunnel inconnues (entrées « interface tunnel[number] » avec IP, source et destination).
  • Si activé, revoir les logs TACACS+ AAA command accounting pour les changements de configuration.
  • Suivre le Cisco IOS XE Software Hardening Guide et les recommandations Securing edge devices.

IOC et TTPs mentionnés:

  • IOCs:
    • Présence de l’implant BADCANDY (web shell Lua) sur l’équipement.
    • Comptes privilégiés inattendus: “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager”, “cisco”.
    • Interfaces tunnel inconnues dans la configuration.
  • TTPs:
    • Exploitation de CVE‑2023‑20198 via l’UI Web pour créer des comptes privilège 15 et prendre le contrôle.
    • Application d’un patch non persistant post‑compromission pour masquer l’état de vulnérabilité.
    • Ré‑exploitation des appareils non corrigés, y compris après suppression de l’implant par redémarrage.
    • Utilisation d’un web shell Lua pour le contrôle post‑exploitation.

Type d’article: alerte gouvernementale visant à informer sur une compromission active, partager l’état de la menace et prescrire des actions de remédiation et de durcissement.

🔗 Source originale : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/badcandy