威脅核心

澳洲政府警告稱，該國未打補丁的 Cisco IOS XE 設備正遭受持續的網路攻擊，攻擊者試圖利用 BadCandy webshell 感染路由器。這些攻擊利用的漏洞是CVE-2023-20198，這是一個最高等級的漏洞，允許未經身份驗證的遠端威脅行為者透過 Web 使用者介面建立本機管理員使用者並接管裝置。

Cisco已於2023年10月修復此漏洞，並將其標記為活躍利用中的問題，但由於大量裝置仍未更新，攻擊在隨後的2024年與2025年仍持續不斷。一旦攻擊者利用CVE-2023-20198漏洞成功建立本地管理員帳戶，即可進一步植入惡意的BadCandy webshell，從而對受感染的網路基礎設施構成嚴重的遠端控制威脅。

 

漏洞詳情與攻擊機制分析

CVE-2023-20198是一個極度危險的漏洞，其嚴重性達最高等級。該漏洞的利用方式極為簡便，攻擊者只需透過暴露於網際網路的Cisco IOS XE設備的Web使用者介面，即可在無需任何身份驗證的情況下，建立一個新的本地管理員使用者。此舉形同完全奪取了裝置的控制權。

澳洲當局警告稱，基於 Lua 的 BadCandy Web Shell 的變種程式在 2024 年和 2025 年仍被用於攻擊，這表明許多思科設備仍未打補丁。BadCandy一旦安裝成功，遠端攻擊者就可以在受感染的裝置上執行具有 root 權限的命令。 BadCandy webshell雖然會在設備重啟時從記憶體中清除，但由於漏洞本質上未被修復，且Web介面保持可存取狀態，攻擊者可以輕易地重新入侵並再次植入惡意程式。澳洲網路安全部門（ASD）觀察到有明確的跡象顯示，攻擊者能夠偵測到BadCandy被移除的事件，並對相同的端點進行再利用（re-exploitation）。

澳洲境內感染狀況與潛在歸因

澳洲政府的評估數據明確揭示了威脅的規模和持續性，凸顯了設備修補進度的落後：

「自2025年7月以來，澳洲網路安全部門（ASD）評估發現，澳洲境內有超過400台設備可能感染了BADCANDY病毒，」公告寫道。“截至2025年10月底，澳洲境內仍有超過150台設備感染了BADCANDY病毒。”

儘管感染數量有所下降，但持續存在的風險仍不容忽視。澳洲信號局（ASD）認為，雖然BadCandy可以被任何威脅行為者使用，但近期攻擊活動的激增趨勢，更有可能與「國家級網路間諜行動者」有關聯。例如，過去此漏洞就被歸因於與中國相關聯的國家級行為者「Salt Typhoon」，該組織曾針對美國和加拿大的大型電信服務提供商發動一系列攻擊。這表明，BadCandy攻擊可能涉及情報收集或網路基礎設施的破壞。

 

官方建議與因應措施

面對國家級網路攻擊的持續威脅，澳洲政府和思科公司已採取積極的應對措施：

為因應持續不斷的網路攻擊，澳洲信號局（ASD）正向受害者發送通知，內容包括如何修補漏洞、加強設備以及進行事件回應，思科也發布了 針對 IOS XE 設備的詳細加固指南。 對於那些無法直接聯繫到的設備所有者，ASD正請求網際網路服務供應商（ISP）代為轉發警告通知，以確保資訊傳遞的廣泛性。

全球所有使用Cisco IOS XE系統的管理者應將此警報視為最高優先級的安全事務，並立即執行以下步驟以降低風險：

1. 立即修補： 必須立即將所有暴露於網際網路的Cisco IOS XE設備更新到已修復CVE-2023-20198的版本，這是切斷攻擊鏈的唯一徹底方法。

2. 存取控制： 嚴格限制對Web使用者介面的存取，僅允許受信任的管理網路IP範圍進行連接。

3. 系統檢查： 檢查設備的本地使用者帳戶列表，移除任何可疑或未經授權的管理員帳戶。

4. 遵循加固指南： 徹底遵循思科官方為IOS XE設備提供的詳細加固指南，以提升整體安全防護能力。

這場針對未修補網路基礎設施的攻擊，再次凸顯了即時修補在網路安全防禦中的關鍵地位。

資料來源：https://www.bleepingcomputer.com/news/security/australia-warns-of-badcandy-infections-on-unpatched-cisco-devices/