Sérülékeny Cisco-routerek, gyors terjedés
A támadási hullám egy súlyos, 2023 októberében javított hibát (CVE-2023-20198) használ ki: a sebezhetőségen keresztül a támadók helyi adminisztrátori felhasználót hozhatnak létre a webes kezelőfelületen, majd átvehetik a készülék irányítását. Bár a javítás hamar elérhetővé vált, sok eszköz kimaradt a védelem mögül – jelenleg is több mint 150 eszköz fertőzött, és legalább 400 volt már érintett Ausztráliában 2025 júliusától.
A támadók visszatérnek, a védelem hiányzik
A BadCandy-t minden újraindítás törli, mégis pillanatok alatt visszatelepíthető, ha a webfelület vagy a hiba nyitva marad. Ezért a támadók könnyedén újra és újra ugyanazokat a routereket célozzák – hiába értesülnek a fertőzésről az üzemeltetők. Előfordul, hogy ismeretlen tulajdonosú eszközökre internetszolgáltatókon keresztül próbálják eljuttatni a figyelmeztetést.
Állami hátterű támadók, világméretű veszély
A támadások mögött gyakran állami támogatású hekkercsoportok, például a kínai Sós Tájfun (Salt Typhoon) állhatnak, akik korábban is nagy telekommunikációs cégeket vettek célba. Szakértők szerint bár a BadCandy bárki számára elérhető, a legújabb hullámot nagy valószínűséggel ezek a csoportok gerjesztik. Az ausztrál hatóságok sürgetik a Cisco IOS XE-t használó üzemeltetőket, hogy mielőbb kövessék a gyártó által kiadott legfrissebb védelmi útmutatókat és telepítsék a frissítéseket.
