详细内容或原文请订阅后点击阅览
澳大利亚政府警告称,BadCandy Webshell 威胁未修补的 Cisco IOS XE 设备
澳大利亚警告称,未修补的 Cisco IOS XE 设备可能会利用 CVE-2023-20198 进行攻击,从而允许安装 BadCandy Webshell。澳大利亚信号局 (ASD) 警告称,未修补的 Cisco IOS XE 设备正在遭受利用 CVE-2023-20198 的攻击,从而允许 BadCandy Webshell 感染和管理员接管。 “网络攻击者正在易受攻击的 Cisco IOS XE 设备上安装名为“BADCANDY”的植入程序 [...]
来源:Security Affairs _恶意软件澳大利亚政府警告称,BadCandy Webshell 威胁未修补的 Cisco IOS XE 设备
皮耶路易吉·帕格尼尼 2025 年 11 月 1 日澳大利亚警告称,未修补的 Cisco IOS XE 设备可能会利用 CVE-2023-20198 进行攻击,从而允许安装 BadCandy Webshell。
澳大利亚信号局 (ASD) 警告称,未修补的 Cisco IOS XE 设备正在遭受利用 CVE-2023-20198 的攻击,从而允许 BadCandy Webshell 感染和管理员接管。
CVE-2023-20198“网络攻击者正在 Cisco IOS XE 设备上安装名为“BADCANDY”的植入程序,该设备容易受到 CVE-2023-20198 的影响。自 2023 年 10 月以来,我们就观察到了 BADCANDY 植入程序的变化,并在 2024 年和 2025 年期间出现了新的活动。”阅读 ASD 发出的警报。
警报攻击者可以利用其 IOS XE 软件中的漏洞 CVE-2023-20198(CVSS 评分 10)来获取管理员权限并接管存在漏洞的路由器。供应商发布的通报指出,利用该漏洞,未经身份验证的远程攻击者可以在受影响的系统上创建具有 15 级访问权限的帐户。
咨询该缺陷会影响运行启用了 Web 用户界面 (Web UI) 功能并使用 HTTP 或 HTTPS 服务器功能的物理和虚拟设备。
自 2025 年 7 月以来,澳大利亚机构观察到该国有 400 多台设备可能受到 BADCANDY 的危害。截至 2025 年 10 月下旬,澳大利亚仍有超过 150 台受到 BADCANDY 攻击的设备暴露在网上。
BADCANDY 是一个基于 Lua 的 Webshell,在 Cisco IOS XE 设备上利用 CVE-2023-20198。重新启动后它是非持久性的,但攻击者可能通过窃取的凭据保留访问权限。需要修补和限制 Web UI 访问以防止重新利用。
“ASD 相信攻击者能够检测到 BADCANDY 植入物何时被移除,并重新利用这些设备。这进一步凸显了需要针对 CVE-2023-20198 进行修补以避免重新利用。”警报继续。
思科指南 脸书