По данным Australian Signals Directorate (ASD), злоумышленники продолжают заражать маршрутизаторы веб-оболочкой BadCandy, которая позволяет выполнять команды с правами суперпользователя.
Уязвимость, эксплуатируемая в этих атаках, обозначена как CVE-2023-20198, пишет Securitylab. Это критическая ошибка, которая даёт возможность удалённым неаутентифицированным пользователям создавать локальных администраторов через веб-интерфейс и полностью захватывать контроль над устройством. Cisco устранила уязвимость ещё в октябре 2023 года, опубликовав официальное уведомление.
Однако спустя несколько недель после выхода обновления в сети появился публичный эксплойт, что вызвало массовые взломы устройств. Исследователи выяснили, что атакующие внедряют на маршрутизаторы вредоносный компонент BadCandy — веб-оболочку на языке Lua, с помощью которой можно выполнять произвольные команды и устанавливать бэкдоры.
По данным ASD, атаки не прекращались и в 2024-м, и в 2025 году. Количество уязвимых систем остаётся значительным: с июля 2025 года специалисты агентства зафиксировали более 400 заражённых устройств в Австралии, а к концу октября — всё ещё свыше 150 активных компрометаций. Несмотря на общее снижение числа инцидентов, злоумышленники продолжают повторно атаковать те же маршрутизаторы.
Вредонос удаляется при перезагрузке устройства, но из-за отсутствия обновлений его легко установить заново, если веб-интерфейс остаётся доступен из интернета. По наблюдениям ASD, хакеры отслеживают момент удаления BadCandy и быстро возвращаются к тем же целям.
Чтобы снизить риски, агентство рассылает уведомления владельцам с инструкциями по обновлению прошивки, усилению защиты и проведению расследования. В случаях, когда установить владельца устройства невозможно, ASD взаимодействует с интернет-провайдерами, чтобы те связались с пострадавшими клиентами.
Ранее уязвимость CVE-2023-20198 использовалась и в кампаниях, приписываемых китайской группе Salt Typhoon, действовавшей против телекоммуникационных компаний в США и Канаде.
Cisco рекомендует всем администраторам IOS XE незамедлительно установить исправления и применить рекомендации из официального руководства по защите устройств.