兩年前思科公布的網路設備作業系統IOS XE滿分漏洞CVE-2023-20198,最近有資安機構提出警告,相關漏洞利用活動仍持續進行。
10月31日澳洲網路安全中心(ACSC)提出警告,駭客試圖在思科IOS XE設備植入名為BadCandy的惡意程式,相關攻擊行動最早可追溯到2023年10月,但在2024至2025年又再度出現,受害設備存在共通點,就是管理者尚未修補CVE-2023-20198,根據ACSC在今年7月的監控,有超過400臺設備受害,截至10月下旬,仍有超過150臺被BadCandy滲透,由於相關活動很可能是國家級駭客所為,因此,ACSC呼籲企業組織儘速採取行動來因應。
對於BadCandy這支惡意程式,ACSC提到是以Lua語言打造的Web Shell,一旦攻擊者成功在IOS XE設備部署,他們還會利用臨時的修補程式,來掩蓋受害設備存在CVE-2023-20198的狀態。
ACSC提及,假若受害設備重新啟動,BadCandy就會被清除,但要是駭客已經建立其他存取管道,或是竊得相關憑證,還是有機會持續存取受害設備。因此,企業組織除了要套用思科提供的修補程式,也要限縮能夠存取網頁介面的來源。
值得留意的是,ACSC特別提及有可能重複感染的現象,他們指出,兩年前漏洞利用大爆發的時候,澳洲有超過400臺設備受害,到今年7月下旬已降至200臺以下,但ACSC觀察到數量出現波動的現象,原因是攻擊者有可能再度利用漏洞,重複對受害設備發動攻擊,其中部分是該組織已經通知的受害企業。對此,他們認為攻擊者有辦法偵測BadCandy是否遭到移除,然後再次利用漏洞進行感染。
基本上,CVE-2023-20198存在於IOS XE的網頁介面,一旦攻擊者成功利用,就能完全以管理員的權限存取受害裝置,思科公布這項資安漏洞後,罕見出現攻擊者疑似成功入侵後進行修補的現象,去年中國駭客Salt Typhoon大規模攻擊美國電信業者,也傳出利用這項漏洞的情況。
熱門新聞
2025-11-10
2025-11-12
2025-11-10
2025-11-10
2025-11-07
2025-11-07