Pemerintah Australia memperingatkan tentang serangan siber yang sedang berlangsung terhadap perangkat Cisco IOS XE yang belum ditambal di negara tersebut untuk menginfeksi router dengan webshell BadCandy.
Kerentanan yang dieksploitasi dalam serangan ini adalah CVE-2023-20198, sebuah kelemahan dengan tingkat keparahan maksimal yang memungkinkan pelaku ancaman jarak jauh yang tidak diautentikasi membuat pengguna admin lokal melalui antarmuka pengguna web dan mengambil alih perangkat.
Cisco memperbaiki kelemahan tersebut pada Oktober 2023, yang kemudian ditandai sebagai dieksploitasi secara aktif masalah. A eksploitasi publik tersedia dua minggu kemudian, memicu eksploitasi massal penanaman di pintu belakang pada perangkat yang terpapar internet.
Pihak berwenang Australia telah memperingatkan bahwa varian web shell BadCandy berbasis Lua yang sama masih digunakan dalam serangan sepanjang tahun 2024 dan 2025, yang menunjukkan bahwa banyak perangkat Cisco masih belum ditambal.
Setelah terinstal, BadCandy memungkinkan penyerang jarak jauh untuk menjalankan perintah dengan hak akses root pada perangkat yang disusupi.
Webshell dihapus dari perangkat saat reboot. Namun, mengingat kurangnya patch pada perangkat tersebut dan dengan asumsi antarmuka web tetap dapat diakses, penyerang dapat dengan mudah memperkenalkannya kembali.
“Sejak Juli 2025, ASD menilai lebih dari 400 perangkat berpotensi disusupi BADCANDY di Australia,” membaca buletin. “Hingga akhir Oktober 2025, masih ada lebih dari 150 perangkat yang disusupi BADCANDY di Australia.”
Sumber: ASD
Meskipun jumlah infeksi menurun, badan tersebut telah melihat tanda-tanda eksploitasi ulang kelemahan tersebut terhadap titik akhir yang sama, meskipun entitas pelanggaran telah diberi peringatan yang tepat.
Menurut agensi tersebut, penyerang dapat mendeteksi kapan implan BadCandy dilepas dan menargetkan perangkat yang sama untuk memasangnya kembali.
Menanggapi serangan yang sedang berlangsung, Direktorat Sinyal Australia mengirimkan pemberitahuan kepada para korban yang mencakup instruksi tentang penambalan, pengerasan perangkat, dan melakukan respons terhadap insiden. Untuk perangkat yang pemiliknya tidak dapat ditentukan, ASD meminta penyedia layanan internet untuk menghubungi korban atas nama mereka.
ASD menyebutkan bahwa kelemahan tersebut sebelumnya telah dimanfaatkan oleh aktor negara seperti ‘Salt Typhoon’ Tiongkok, yang dianggap bertanggung jawab atas serangkaian serangan terhadap penyedia layanan telekomunikasi besar. di seluruh AS. Dan Kanada.
Badan tersebut percaya bahwa, meskipun BadCandy secara teoritis dapat digunakan oleh siapa saja, lonjakan baru-baru ini dapat dikaitkan dengan “aktor dunia maya yang disponsori negara.”
Administrator sistem Cisco IOS XE di seluruh dunia, termasuk di Australia, harus mengikuti rekomendasi mitigasi vendor dalam hal ini buletin keamanan.
Cisco juga telah menerbitkan rinciannya panduan pengerasan untuk perangkat iOS XE.
