Siber suçlular ve devlet destekli aktörler, Avustralya genelinde yama yapılmamış Cisco IOS XE cihazlarına yönelik saldırıları artırıyor ve yetkisiz erişimi sürdürmek için BADCANDY olarak bilinen Lua tabanlı kalıcı bir web kabuğu kullanıyor.
İlk olarak Ekim 2023’ten bu yana varyasyonları tespit edilen bu implantın, yazılımın web kullanıcı arayüzündeki kritik CVE-2023-20198 güvenlik açığından yararlanılarak 2024 boyunca ve 2025’e kadar yeniden istismar edildiği görüldü.
Avustralya Sinyal Direktörlüğü (ASD), Temmuz 2025’ten bu yana 400’den fazla cihazın potansiyel olarak ele geçirildiği ve Ekim sonu itibarıyla 150’den fazla cihazın hala enfekte olduğu konusunda uyararak ağ altyapısına yönelik devam eden tehdidin altını çiziyor.
BADCANDY Web Kabuğu Yamasız Cihazlardan Yararlanıyor
Maksimum CVSS puanı 10,0 olarak derecelendirilen CVE-2023-20198 kusuru, kimliği doğrulanmamış uzaktaki saldırganların, etkilenen Cisco IOS XE yönlendiricileri ve anahtarları üzerinde yüksek ayrıcalıklı hesaplar oluşturmasına olanak tanıyarak, kimlik bilgileri olmadan tam sistem kontrolü sağlar.
Cisco, aktif istismarın ortasında bu sıfır günü Ekim 2023’te yamaladı, ancak kısa süre sonra kamuya açık istismarlar ortaya çıktı ve Çin devleti destekli SALT TYPHOON gibi grupların yaygın suiistimallerini körükledi.
ASD, saldırganların cisco_service.conf adlı bir Nginx yapılandırma dosyasındaki gizli bir URI yolu aracılığıyla kök düzeyinde komut yürütülmesine olanak tanıyan hafif bir implant olan BADCANDY’yi yüklerken, güvenlik açığını gizlemek için genellikle kalıcı olmayan bir yama uyguladıktan sonra güvenlik açığını uyguladıklarını bildiriyor.
BADCANDY yeniden başlatmanın ardından ortadan kaybolsa da, saldırganlar çalıntı kimlik bilgileri veya diğer kalıcı yöntemler yoluyla erişimi elinde tutabilir ve bu da açığa çıkan web arayüzlerinde yeniden kullanımı önemsiz hale getirir.
Bu güvenlik açığı 2023’te rutin olarak en çok yararlanılan kusurlar arasında yer aldı ve ASD, özellikle internete bakan cihazları hedef alan saldırıların 2025’te devam ettiğini doğruladı.
Çin istihbaratıyla bağlantılı SALT TYPHOON, CVE-2023-20198 ve CVE-2023-20273 gibi güvenlik açıklarının yanı sıra genellikle meşru kimlik bilgilerini kullanarak küresel telekom ihlallerinde Cisco’nun benzer zayıflıklarından yararlandı.
Suç aktörleri ve diğer ulus devletler de BADCANDY’yi yeniden kullanıyor, yama yapılmamış sistemleri tarıyor ve bildirimlerle temizlenen sistemleri yeniden enfekte ediyor.
İmplantın az yer kaplaması, derinlemesine yapılandırma incelemeleri olmadan algılamayı zorlaştırıyor ve dünya çapındaki uç ağlara yönelik risklerin altını çiziyor.
ASD’nin Yanıtı
Buna yanıt olarak ASD, Temmuz 2025’ten bu yana etkilenen kuruluşlara servis sağlayıcılar aracılığıyla toplu bildirimler yayınlayarak derhal yama uygulanması, yeniden başlatma ve olaylara müdahale edilmesi çağrısında bulundu.
Bu çabalar, Ekim sonu itibarıyla enfeksiyon sayısını 400’den 150 civarına düşürdü, ancak dalgalanmalar, aktörlerin temizlenmiş cihazları tespit edip yeniden kullandıklarını gösteriyor.
Temmuz ayından Ekim 2025’e kadar BADCANDY implantlarını takip eden bir grafik, Eylül ve Ekim ayı başlarındaki toplu bildirim etkinlikleri etrafındaki ani artışlarla noktalanan istikrarlı bir düşüş gösteriyor; çizgi Temmuz ortasında 350’den Ekim sonunda yaklaşık 138’e düşüyor.
ASD, yeniden dirilişleri yama yapılmamış sistemlerin çevrimiçi kalmasına bağlıyor ve kökteki güvenlik açığı giderilmeden yeniden başlatmanın tek başına yeterli olmayacağını vurguluyor.
Bununla mücadele etmek için ASD, ayrıcalık 15 hesapları için çalışan yapılandırmaların, özellikle de “cisco_tac_admin” gibi şüpheli olanların veya rastgele dizelere sahip olanların gözden geçirilmesini ve yetkisiz girişlerin kaldırılmasını önerir.
Kuruluşlar ayrıca “arayüz tüneli” gibi bilinmeyen tünel arayüzlerini de taramalıdır.[number]”beklenmeyen IP’lerle ve etkinleştirilmişse değişiklikler için TACACS+ günlüklerini kontrol edin.
HTTP sunucusu özelliğini devre dışı bırakmanın ve web kullanıcı arayüzü erişimini kısıtlamak için IOS XE sağlamlaştırma kılavuzunu izlemenin yanı sıra Cisco’nun CVE-2023-20198 yamasını uygulamak da kritik öneme sahiptir.
Yeniden başlatma, implantı kaldırır ancak kalıcı değişiklikler için yeniden başlatma sonrası kontroller gerektirir ve ağ bölümlendirmesi gibi daha geniş uç cihaz güvenliği, yanal hareketi önleyebilir.
Cisco, soruşturmalara yardımcı olmak için tavsiyelerinde uzlaşma göstergeleri sunarken ASD, Avustralya’daki saldırı yüzeyini daraltmak için bildirimlere devam ediyor. Ağlar, bu eylemlere öncelik vererek yeniden istismarı engelleyebilir ve gelişen tehditlere karşı savunmayı güçlendirebilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
