O governo australiano emitiu um alerta sobre ataques cibernéticos contínuos que exploram dispositivos Cisco IOS XE desatualizados no país, com o objetivo de infectar roteadores com o webshell BadCandy.
A vulnerabilidade explorada nesses ataques é a
CVE-2023-20198
, classificada com gravidade máxima.
Ela permite que invasores remotos, sem autenticação, criem um usuário administrador local via interface web e assumam o controle total dos dispositivos.
A Cisco corrigiu essa falha em outubro de 2023, após identificar que ela já estava sendo explorada ativamente.
Duas semanas depois, um exploit público foi disponibilizado, desencadeando uma onda massiva de ataques para instalação de backdoors em dispositivos expostos diretamente à internet.
As autoridades australianas alertam que variantes do webshell BadCandy, baseadas em Lua, continuam sendo usadas em ataques durante 2024 e 2025, indicando que muitos dispositivos Cisco ainda não receberam o patch recomendado.
Uma vez instalado, o BadCandy permite que o invasor execute comandos com privilégios de root nos equipamentos comprometidos.
Embora o webshell seja removido quando o dispositivo é reiniciado, a ausência do patch e a manutenção da interface web acessível facilitam que o atacante reinstale a ameaça.
“Desde julho de 2025, o ASD (Australian Signals Directorate) avalia que mais de 400 dispositivos foram potencialmente infectados com o BadCandy na Austrália”, afirma o comunicado oficial.
“Até o final de outubro de 2025, ainda havia mais de 150 dispositivos comprometidos no país.”
Embora o número de infecções esteja caindo, a agência identificou tentativas recorrentes de reexploração da vulnerabilidade nos mesmos dispositivos, mesmo após os responsáveis terem sido devidamente notificados.
O órgão explica que os atacantes monitoram a remoção do BadCandy e têm capacidade para reinfectar os equipamentos, visando manter o acesso.
Em resposta, o ASD está enviando notificações às vítimas com orientações sobre a aplicação de patches, fortalecimento da segurança dos dispositivos e condução da resposta a incidentes.
Para equipamentos cujos proprietários não foram identificados, a agência solicita que provedores de internet entrem em contato com os usuários em seu lugar.
O ASD também destaca que essa falha já foi explorada por grupos patrocinados por estados, como a operação chinesa “Salt Typhoon”, responsável por uma série de ataques a grandes provedores de telecomunicações nos EUA e Canadá.
A agência acredita que, apesar do BadCandy poder ser utilizado por qualquer ator, os recentes surtos são atribuídos a grupos apoiados por governos.
Administradores de sistemas Cisco IOS XE no mundo todo, inclusive na Austrália, devem seguir as recomendações de mitigação publicadas pela Cisco no respectivo boletim de segurança.
A empresa disponibilizou ainda um guia detalhado para o hardening desses dispositivos, reforçando a proteção contra ameaças como esta.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...