La Dirección de Señales de Australia (ASD) ha emitido un boletín sobre ataques cibernéticos en curso dirigidos a dispositivos Cisco IOS XE sin parches en el país con un implante previamente no documentado conocido como BAD CANDY.
La actividad, según la agencia de inteligencia, implica la explotación de CVE-2023-20198 (puntuación CVSS: 10.0), una vulnerabilidad crítica que permite a un atacante remoto y no autenticado crear una cuenta con privilegios elevados y utilizarla para tomar el control de sistemas susceptibles.
El defecto de seguridad ha sido objeto de explotación activa en la naturaleza desde 2023, y actores de amenazas vinculados a China como Salt Typhoon lo han utilizado como armamento en los últimos meses para violar a los proveedores de telecomunicaciones.
ASD señaló que se han detectado variaciones de BADCANDY desde octubre de 2023, y se siguió registrando un nuevo conjunto de ataques en 2024 y 2025. Se estima que hasta 400 dispositivos en Australia se han pasado comprometidos con el malware desde julio de 2025, de los cuales 150 dispositivos fueron infectados solo en octubre.
«BADCANDY es un shell web basado en Lua de bajo caudal, y los ciberactores normalmente han esforzado un parche no persistente luego del compromiso para disfrazar el estado de vulnerabilidad del dispositivo en relación con CVE-2023-20198», dijo. «En estos casos, la presencia del implante BADCANDY indica un compromiso del dispositivo Cisco IOS XE, a través de CVE-2023-20198».
La desidia de un mecanismo de persistencia significa que no puede sobrevivir a los reinicios del sistema. Sin confiscación, si el dispositivo permanece sin parchear y expuesto a Internet, es posible que el actor de la amenaza reintroduzca el malware y recupere el entrada a él.
ASD ha evaluado que los actores de amenazas son capaces de detectar cuándo se retira el implante y están infectando los dispositivos nuevamente. Esto se podio en que la reexplotación se ha producido en dispositivos sobre los cuales la agencia ha emitido notificaciones previas a las entidades afectadas.
Dicho esto, un reinicio no deshará otras acciones realizadas por los atacantes. Por lo tanto, es esencial que los operadores del sistema apliquen los parches, limiten la exposición pública de la interfaz de afortunado web y sigan las pautas de refuerzo necesarias emitidas por Cisco para evitar futuros intentos de explotación.
Algunas de las otras acciones descritas por la agencia se enumeran a continuación:
- Revise la configuración en ejecución para cuentas con privilegio 15 y elimine cuentas inesperadas o no aprobadas
- Revise las cuentas con cadenas aleatorias o «cisco_tac_admin», «cisco_support», «cisco_sys_manager» o «cisco» y elimínelas si no son legítimas.
- Revise la configuración en ejecución para interfaces de túnel desconocidas
- Revise el registro de contabilidad de comandos TACACS+ AAA para cambios de configuración, si está autorizado
