O Australian Signals Directorate (ASD) emitiu um alerta sobre ataques cibernéticos em andamento que estão explorando dispositivos desatualizados com Cisco IOS XE na Austrália, por meio de uma ameaça inédita chamada BADCANDY.
De acordo com a agência de inteligência, os ataques aproveitam a vulnerabilidade crítica
CVE-2023-20198
, que possui pontuação 10,0 no CVSS.
A falha permite que um invasor remoto, mesmo sem autenticação, crie uma conta com privilégios elevados e obtenha controle total sobre os sistemas vulneráveis.
Desde meados de 2023, essa vulnerabilidade tem sido explorada ativamente por grupos ligados à China, como o Salt Typhoon, que têm invadido recentemente provedores de telecomunicações.
O ASD destacou que variantes do BADCANDY foram detectadas desde outubro de 2023, e novos ataques seguem sendo registrados em 2024 e 2025.
Estima-se que cerca de 400 dispositivos na Austrália foram infectados por esse malware desde julho de 2025, sendo 150 apenas em outubro.
Segundo o comunicado, "o BADCANDY é um web shell baseado em Lua com baixa permanência (low equity).
Os invasores costumam aplicar um patch não persistente após o comprometimento, a fim de mascarar o status vulnerável do dispositivo relacionado à
CVE-2023-20198
.
Nesses casos, a presença do BADCANDY indica que o equipamento Cisco IOS XE foi comprometido por essa vulnerabilidade."
Por não possuir mecanismo de persistência, o malware não sobrevive à reinicialização do sistema.
Ainda assim, se o dispositivo permanecer exposto à internet sem o patch aplicado, os invasores podem reintroduzir o BADCANDY e retomar o acesso.
O ASD identificou que os atacantes detectam quando o implant é removido, reinfectando os equipamentos.
Esse padrão foi confirmado em dispositivos que já haviam recebido notificações anteriores da agência.
Vale ressaltar que um simples reboot não elimina outras ações maliciosas realizadas pelos invasores.
Por isso, é fundamental que os administradores apliquem os patches disponibilizados pela Cisco, limitem a exposição pública da interface web e sigam as diretrizes de hardening recomendadas para evitar novas tentativas de exploração.
Entre as medidas adicionais indicadas pelo ASD, destacam-se:
- Revisar a configuração ativa para identificar contas com privilégio 15 e remover aquelas não autorizadas;
- Verificar a existência de contas com nomes aleatórios ou identificações como "cisco_tac_admin", "cisco_support", "cisco_sys_manager" e "cisco", eliminando-as caso não sejam legítimas;
- Inspecionar a configuração em busca de interfaces de túnel desconhecidas;
- Monitorar os logs do TACACS+ AAA para detectar alterações na configuração, quando ativados.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...