Avustralya’nın önde gelen siber güvenlik kurumu, yamaların iki yılı aşkın bir süredir mevcut olmasına rağmen, Ekim 2025’in sonları itibarıyla 150’den fazla Avustralyalı Cisco yönlendirici ve anahtarının BADCANDY web kabuğundan etkilenmeye devam ettiği konusunda uyardı.
Avustralya Sinyal Direktörlüğü’nün (ACSC-ASD) Siber Güvenlik Merkezi bölümü, bir danışma belgesinde, BADCANDY’nin ilk keşfedildiğinde gördüğü ele geçirilmiş cihazların sayısının 400’ün üzerinde olduğunu ancak birçok Cisco XE ağ yönlendiricisinin ve anahtarının yamasız olduğunu söyledi.
ASD, BADCANDY güvenlik açığının, kurumun önceden bildirim gönderdiği cihazlar da dahil olmak üzere aktif olarak kullanıldığını ve yeniden enfeksiyonun meydana geldiğini öne sürdüğünü söyledi.
Tehdit aktörlerinin BADCANDY implantının çıkarıldığını tespit ederek savunmasız cihazlara yeniden virüs bulaştırmaya çalışabilecekleri düşünülüyor.
Cisco Talos araştırmacıları, BADCANDY implantını ilk olarak Ekim 2023’te, tehdit aktörlerinin dünya çapında Cisco IOS XE cihazlarını tehlikeye atmak için CVE-2023-20198’den yararlanmaya başlamasından kısa bir süre sonra tanımladı ve adlandırdı.
Güvenlik açığı, maksimum önem derecesi olan 10.0’ı taşıyor ve kimliği doğrulanmamış saldırganların, güvenlik açığı bulunan sistemlerde yönetici hesapları oluşturmasına, komutları uzaktan çalıştırmasına ve cihazların güvenliğini tamamen ihlal etmesine olanak tanıyor.
BADCANDY, düşük eşitlikli Lua programlama dili tabanlı bir web kabuğu olarak tanımlanıyor; bu, implantın ilk erişim sağlandıktan sonra konuşlandırılması için minimum düzeyde teknik karmaşıklık gerektirdiğini gösteriyor.
Bu erişilebilirlik BADCANDY’yi hem suç grupları hem de devlet destekli aktörler için çekici hale getirdi.
Bir cihazın güvenliği ihlal edildiğinde, tehdit aktörleri ağ trafiğini yakalayıp gözlemleyebilir, kalıcılığı etkinleştirebilir ve ağlarda yatay olarak hareket edebilir.
ASD, Çin’in Salt Typhoon hack grubunu küresel casusluk operasyonları için bu saldırı vektörünü kullanan aktörlerden biri olarak tanımladı.
ASD, yeniden başlatmanın BADCANDY’yi kaldıracağını, ancak bunu yapmanın tehdit aktörünün gerçekleştirdiği ek eylemleri tersine çevirmeyeceği ve başlangıçtaki güvenlik açığını gidermeyeceği konusunda uyardı.
Ajans, kuruluşların, özellikle “cisco_tac_admin”, “cisco_support” veya “cisco_sys_manager” gibi rastgele dizelere veya adlara sahip olan şüpheli ayrıcalıklı 15 hesaplar için çalışan yapılandırmalarını gözden geçirmelerini öneriyor.
Yapılandırmadaki bilinmeyen tünel arayüzleri de araştırmayı gerektirir.
Yeniden kullanımı önlemek için CVE-2023-20198 yaması uygulanmalı ve etkinleştirilirse web kullanıcı arayüzüne erişim de kısıtlanmalıdır.