Una vulnerabilidad crítica en Cisco IOS XE está siendo explotada para instalar un implante llamado BadCandy en una nueva ola de ataques. según advertencias de autoridades del gobierno australiano y múltiples investigadores de seguridad.
Los piratas informáticos criminales y vinculados al estado han estado abusando de la vulnerabilidad, rastreada como CVE-2023-20198, para instalar BadCandy en sistemas específicos desde 2023, y han renovado periódicamente esos ataques en oleadas.
La Dirección de Señales de Australia advirtió que más de 400 dispositivos han sido potencialmente comprometidos en ese país desde julio. Hasta octubre, más de 150 dispositivos seguían comprometidos, según un aviso emitido el viernes.
La Fundación Shadowserver advirtió el lunes que la actividad de amenazas está muy extendida en todo el mundo, con Más de 15.000 dispositivos con implantes de puerta trasera permanecen visibles.
La vulnerabilidad, rastreada como CVE-2023-20198abusa de la interfaz de usuario web en el software Cisco IOS XE y tiene una puntuación de gravedad de 10. Anteriormente se reveló como un día cero en 2023. con más de 42.000 dispositivos explotado.
A principios de este año, investigadores de GreyNoise vincularon una serie de ataques en equipo de Cisco a una campaña vinculada a Salt Typhoon, un grupo respaldado por el estado en China detrás de un campaña que afectó a los principales proveedores de telecomunicaciones en los EE. UU. en 2024. GreyNoise, sin embargo, dijo que no atribuían el ataque a ningún grupo específico.
Los investigadores de GreyNoise han estado rastreando la actividad relacionada con el aviso actual.
«GreyNoise ha observado intentos de explotación contra CVE-2023-20198; sin embargo, la orientación sigue siendo consistente con la actividad observada durante los últimos 90 días y no hemos observado ninguna implementación de shell web BadCandy», dijeron los investigadores a Cybersecurity Dive por correo electrónico.
Rapid7 ha observado lo que llama “actividades agrupadas en CN” relacionadas con un actor patrocinado por el estado que los investigadores conectan con China, pero no puede atribuir definitivamente la actividad a un grupo específico, dijo a Cybersecurity Dive Christiaan Beek, director senior de inteligencia y análisis de amenazas de Rapid7.
Beek advirtió que es importante hacer una distinción entre actividad de escaneo y explotación confirmada, a menos que haya confirmación con respecto a la actividad posterior a la explotación o la ejecución específica de comandos.
Un portavoz de la Agencia de Seguridad de Infraestructura y Ciberseguridad dijo que la agencia no tenía información nueva sobre la actividad de amenazas relacionada con BadCandy.
CISA agregó la falla de Cisco a su catálogo de vulnerabilidades explotadas conocidas en 2023 y proporcionó orientación adicional de mitigación En el momento.
Las autoridades australianas dijeron que reiniciar un dispositivo eliminará la infección. Sin embargo, los atacantes que obtuvieron acceso a las credenciales o encontraron otra forma de mantener la persistencia aún pueden permanecer dentro de un dispositivo.
Nota del editor: actualizaciones con comentarios de GreyNoise.
Fuente