01 Nov
Les cyberattaques continuent d’évoluer, exploitant les vulnérabilités des systèmes pour causer des dommages significatifs. L’une des menaces numériques qui suscitent actuellement l’attention est l’implant malveillant BADCANDY, utilisé pour cibler les appareils Cisco IOS XE non corrigés. Cette menace a conduit l’ASD (Australian Signals Directorate) à émettre des avertissements en raison de son exploitation active d’une importante vulnérabilité, la CVE-2023-20198.
Le contexte de la faille CVE-2023-20198
Classée avec un score CVSS de 10.0, cette vulnérabilité critique permet à un attaquant à distance et non authentifié de créer un compte avec des privilèges élevés. Une fois ce compte établi, les attaquants peuvent prendre le contrôle complet des systèmes compromis. Depuis fin 2023, cette faille est activement exploitée, notamment par des groupes liés à la Chine tels que Salt Typhoon, mettant en péril des infrastructures critiques comme les télécommunications.
BADCANDY : Un implant unique en son genre
BADCANDY est un web shell basé sur Lua, discret mais puissant, déployé après l’exploitation de la vulnérabilité CVE-2023-20198. L’implant ne persiste pas après un redémarrage du système, mais si l’appareil reste exposé et non corrigé, les attaquants peuvent facilement le réinfecter. Depuis octobre 2023, BADCANDY a été détecté dans plusieurs versions avec une augmentation communautaire des attaques en 2024 et 2025, particulièrement en Australie.
Les tactiques des attaquants
Les cybercriminels appliquent souvent un patch temporaire après avoir compromis un appareil pour masquer la vulnérabilité exploitée. Cela complique la détection immédiate de la menace. De plus, ils surveillent les appareils visés pour détecter la suppression de leur implant, permettant une réinfection rapide et efficace.
Actions recommandées par l’ASD
Pour prévenir ces attaques, l’ASD recommande :
- Appliquer les correctifs publiés par Cisco pour la CVE-2023-20198 immédiatement.
- Limiter l’exposition publique de l’interface utilisateur web.
- Suivre les directives de durcissement des systèmes énoncées par Cisco.
En outre, il est essentiel de vérifier la configuration en cours des appareils pour supprimer les comptes administrateurs suspectés non approuvés, identifier les interfaces de tunnel inconnues, et examiner les journaux pour toute modification non autorisée.
Implications stratégiques pour les entreprises
La menace BADCANDY met en lumière l’importance pour les entreprises de renforcer leur posture de cybersécurité. Au-delà des solutions techniques, une vigilance accrue sur les configurations réseau et une collaboration avec des experts en cybersécurité comme Lynx Intel peuvent aider à prévenir de telles violations.
Conclusion
BADCANDY montre clairement à quel point les menaces numériques continuent de s’adapter et d’évoluer. La correction rapide des vulnérabilités, combinée à une surveillance proactive, est cruciale pour protéger les infrastructures critiques. Chez Lynx Intel, nous offrons des services de renseignement et de sécurité pour aider les organisations à mieux se protéger contre ces menaces.
