Cisco IOS XE’deki kritik bir güvenlik açığından yararlanılarak yenilenen saldırı dalgasında BadCandy adlı bir implantın kurulumu yapılıyor. Avustralya hükümet yetkililerinin uyarılarına göre ve çok sayıda güvenlik araştırmacısı.
Devlet bağlantılı ve suçlu bilgisayar korsanları, 2023’ten bu yana BadCandy’yi hedeflenen sistemlere yüklemek için CVE-2023-20198 olarak takip edilen güvenlik açığını kötüye kullanıyor ve bu saldırıları dalgalar halinde periyodik olarak yeniliyor.
Avustralya Sinyal Müdürlüğü, Temmuz ayından bu yana bu ülkede 400’den fazla cihazın potansiyel olarak ele geçirildiği konusunda uyardı. Cuma günü yayınlanan bir rapora göre Ekim ayı itibarıyla 150’den fazla cihazın güvenliği ihlal edilmiş halde kaldı.
Shadowserver Vakfı Pazartesi günü tehdit faaliyetinin dünya çapında yaygın olduğu konusunda uyardı. Arka kapı implantlarının görünür durumda olduğu 15.000’den fazla cihaz.
Şu şekilde izlenen güvenlik açığı: CVE-2023-20198Cisco IOS XE yazılımındaki web kullanıcı arayüzünü kötüye kullanıyor ve önem puanı 10. Daha önce 2023’te sıfır gün olarak açıklanmıştı, 42.000’den fazla cihazla sömürülüyor.
Bu yılın başlarında, GreyNoise’daki araştırmacılar bir dizi saldırıyı birbirine bağladı Cisco’nun, Çin’de devlet destekli bir grup olan Salt Typhoon ile bağlantılı bir kampanyaya yönelik Büyük telekom sağlayıcılarını vuran kampanya 2024 yılında ABD’de.
Rapid7, araştırmacıların Çin’e bağladığı devlet destekli bir aktörle ilgili “CN Kümelenmiş faaliyetleri” olarak adlandırdığı gözlemleri gözlemledi, ancak Rapid7’nin tehdit istihbaratı ve analitiği kıdemli direktörü Christiaan Beek, Cybersecurity Dive’a bu aktiviteyi kesin olarak belirli bir gruba atfedemiyor.
Beek, istismar sonrası faaliyete veya belirli komutların yürütülmesine ilişkin bir onay olmadığı sürece, tarama faaliyeti ile onaylanmış istismar arasında bir ayrım yapmanın önemli olduğu konusunda uyardı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın bir sözcüsü, ajansın BadCandy ile ilgili tehdit faaliyetleri hakkında yeni bir bilgiye sahip olmadığını söyledi.
CISA, Cisco kusurunu 2023’te Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi ve ek azaltma kılavuzu o zaman.
Avustralyalı yetkililer, cihazın yeniden başlatılmasının enfeksiyonu ortadan kaldıracağını söyledi. Ancak kimlik bilgilerine erişim kazanan veya kalıcılığı korumanın başka bir yolunu bulan saldırganlar yine de bir cihazın içinde kalabilir.