هشدار ASD(سازمان امنیت ارتباطات استرالیا) دربارهٔ حملات مداوم BADCANDY با سوءاستفاده از آسیب‌پذیری Cisco IOS XE!

سازمان امنیت ارتباطات استرالیا (ASD) هشدار داده است که موجی از حملات سایبری فعال در حال هدف‌گیری دستگاه‌های Cisco IOS XE پچ نشده در این کشور است. این حملات از یک ایمپلنت (implant) ناشناخته و تازه شناسایی‌شده به نام بدافزار BADCANDY استفاده می‌کنند.

به گفته‌ی ASD، این فعالیت‌ها با اکسپلویت آسیب‌پذیری بحرانی CVE-2023-20198 (با امتیاز CVSS برابر ۱۰.۰) انجام می‌شوند؛ نقصی که به مهاجم از راه دور و بدون نیاز به احراز هویت اجازه می‌دهد تا حساب کاربری با سطح دسترسی بالا (privilege 15) ایجاد کرده و کنترل کامل دستگاه آسیب‌پذیر را در دست بگیرد.

🔎 اکسپلویت فعال و منسوب به گروه‌های چین‌محور

این آسیب‌پذیری از اواخر سال ۲۰۲۳ به‌صورت فعال در حملات مشاهده شده است. طبق گزارش‌ها، گروه‌های تهدید وابسته به چین مانند Salt Typhoon در ماه‌های اخیر از این نقص برای نفوذ به شرکت‌های مخابراتی استفاده کرده‌اند.

ASD اعلام کرده که گونه‌های مختلف بدافزار BADCANDY از اکتبر ۲۰۲۳ شناسایی شده‌اند و حملات تازه‌ای در طول سال‌های ۲۰۲۴ و ۲۰۲۵ همچنان ادامه دارند.
تنها از جولای تا اکتبر ۲۰۲۵، بیش از ۴۰۰ دستگاه در استرالیا به این بدافزار آلوده شده‌اند؛ از این میان، حدود ۱۵۰ دستگاه فقط در ماه اکتبر آلوده شده‌اند.

💻 جزئیات فنی بدافزار BADCANDY

به گفته‌ی ASD:

«BADCANDY یک وب‌شل (Web Shell) مبتنی بر زبان Lua و بدون مکانیزم پایداری است که معمولاً مهاجمان پس از نفوذ، یک پچ موقتی برای پنهان کردن آسیب‌پذیری CVE-2023-20198 روی دستگاه اعمال می‌کنند.»

این وب‌شل مکانیزم پایداری (Persistence) ندارد، یعنی با ریبوت سیستم از بین می‌رود.
اما در صورتی که دستگاه پچ نشده و در بستر اینترنت باقی بماند، مهاجمان می‌توانند دوباره آن را آلوده کرده و دسترسی خود را بازیابند.

ASD تأکید کرده مهاجمان قادرند تشخیص دهند چه زمانی ایمپلنت حذف شده و بلافاصله اقدام به آلودگی مجدد دستگاه‌ها می‌کنند. در برخی موارد، این اتفاق حتی پس از آن رخ داده که به سازمان‌ها دربارهٔ نفوذ هشدار داده شده بود.

با این حال، ریبوت سیستم اقدامات دیگری را که مهاجم در دستگاه انجام داده از بین نمی‌برد؛ بنابراین تنها راه امن، نصب پچ ها و محدودسازی رابط کاربری وب طبق دستورالعمل‌های امنیتی رسمی Cisco است.

🛡️ توصیه‌های امنیتی ASD برای مدیران شبکه

ASD از مدیران و اپراتورهای سیستم خواسته اقدامات زیر را انجام دهند:

• بررسی تنظیمات در حال اجرا و حذف حساب‌های کاربری دارای سطح دسترسی ۱۵ که غیرمنتظره یا غیرمجاز هستند.

• شناسایی و حذف حساب‌هایی با نام‌های مشکوک مانند:
  "cisco_tac_admin", "cisco_support", "cisco_sys_manager" یا "cisco"

• بررسی پیکربندی برای وجود رابط‌های تونل ناشناخته (Unknown Tunnel Interfaces)

• در صورت فعال بودن TACACS+ AAA accounting logs، بررسی گزارش‌ها برای تغییرات مشکوک در تنظیمات

📌 جمع‌بندی

بدافزار BADCANDY نشان‌دهنده‌ی یک روند نگران‌کننده در حملات به تجهیزات زیرساختی شبکه است، جایی که مهاجمان با اکسپلویت آسیب‌پذیری‌های پچ نشده، کنترل کامل دستگاه را در اختیار می‌گیرند و سپس با پنهان‌سازی ردپای خود، شناسایی را برای مدت طولانی دشوار می‌سازند.

ASD تأکید کرده که مدیران شبکه باید فوراً پچ های امنیتی Cisco را نصب کرده و رابط‌های مدیریتی را از دسترس عمومی خارج کنند.

منابع: