La Dirección de Señales de Australia (ASD) ha emitido un boletín sobre ataques cibernéticos en curso dirigidos a dispositivos Cisco IOS XE sin parches en el país con un implante previamente indocumentado conocido como BAD CANDY.
La actividad, según la agencia de inteligencia, implica la explotación de CVE-2023-20198 (Puntuación CVSS: 10.0), una vulnerabilidad crítica que permite a un atacante remoto no autenticado crear una cuenta con privilegios elevados y utilizarla para tomar el control de sistemas susceptibles.
El defecto de seguridad ha sido objeto de explotación activa en estado salvaje desde el pasado 2023, con actores de amenazas vinculados a China como Tifón de sal utilizándolo como arma en los últimos meses para violar a los proveedores de telecomunicaciones.
ASD señaló que se han detectado variaciones de BADCANDY desde octubre de 2023, y se continuó registrando un nuevo conjunto de ataques en 2024 y 2025. Se estima que hasta 400 dispositivos en Australia se han visto comprometidos con el malware desde julio de 2025, de los cuales 150 dispositivos fueron infectados solo en octubre.
«BADCANDY es un shell web basado en Lua de bajo capital, y los ciberactores normalmente han aplicado un parche no persistente después del compromiso para enmascarar el estado de vulnerabilidad del dispositivo en relación con CVE-2023-20198», dijo. «En estos casos, la presencia del implante BADCANDY indica un compromiso del dispositivo Cisco IOS XE, a través de CVE-2023-20198».
La falta de un mecanismo de persistencia significa que no puede sobrevivir a los reinicios del sistema. Sin embargo, si el dispositivo permanece sin parchear y expuesto a Internet, es posible que el actor de la amenaza reintroduzca el malware y recupere el acceso a él.
ASD ha evaluado que los actores de amenazas son capaces de detectar cuándo se retira el implante y están infectando los dispositivos nuevamente. Esto se basa en que la reexplotación se ha producido en dispositivos sobre los cuales la agencia ha emitido notificaciones previas a las entidades afectadas.
Dicho esto, un reinicio no deshará otras acciones realizadas por los atacantes. Por lo tanto, es esencial que los operadores del sistema apliquen los parches, limiten la exposición pública de la interfaz de usuario web y sigan las medidas necesarias. pautas de endurecimiento emitido por Cisco para evitar futuros intentos de explotación.
Algunas de las otras acciones descritas por la agencia se enumeran a continuación:
- Revise la configuración en ejecución para cuentas con privilegio 15 y elimine cuentas inesperadas o no aprobadas
- Revise las cuentas con cadenas aleatorias o «cisco_tac_admin», «cisco_support», «cisco_sys_manager» o «cisco» y elimínelas si no son legítimas.
- Revise la configuración en ejecución para interfaces de túnel desconocidas
- Revise el registro de contabilidad de comandos TACACS+ AAA para cambios de configuración, si está habilitado
Fuente