Az ausztrál Cisco-krízis: BadCandy-zsarolók újra támadnak

Ausztráliában egyre több Cisco IOS XE router esik országos kibertámadások áldozatául, miután sok eszközre nem került fel a szükséges biztonsági frissítés. A jelenleg is aktív támadások során a hackerek a BadCandy nevű kártékony webshellt használják, amelyen keresztül távolról, rendszergazdai joggal hajthatnak végre parancsokat a fertőzött eszközökön.

Sérülékeny Cisco-routerek, gyors terjedés

A támadási hullám egy súlyos, 2023 októberében javított hibát (CVE-2023-20198) használ ki: a sebezhetőségen keresztül a támadók helyi adminisztrátori felhasználót hozhatnak létre a webes kezelőfelületen, majd átvehetik a készülék irányítását. Bár a javítás hamar elérhetővé vált, sok eszköz kimaradt a védelem mögül – jelenleg is több mint 150 eszköz fertőzött, és legalább 400 volt már érintett Ausztráliában 2025 júliusától.

A támadók visszatérnek, a védelem hiányzik

A BadCandy-t minden újraindítás törli, mégis pillanatok alatt visszatelepíthető, ha a webfelület vagy a hiba nyitva marad. Ezért a támadók könnyedén újra és újra ugyanazokat a routereket célozzák – hiába értesülnek a fertőzésről az üzemeltetők. Előfordul, hogy ismeretlen tulajdonosú eszközökre internetszolgáltatókon keresztül próbálják eljuttatni a figyelmeztetést.

Állami hátterű támadók, világméretű veszély

A támadások mögött gyakran állami támogatású hekkercsoportok, például a kínai Sós Tájfun (Salt Typhoon) állhatnak, akik korábban is nagy telekommunikációs cégeket vettek célba. Szakértők szerint bár a BadCandy bárki számára elérhető, a legújabb hullámot nagy valószínűséggel ezek a csoportok gerjesztik. Az ausztrál hatóságok sürgetik a Cisco IOS XE-t használó üzemeltetőket, hogy mielőbb kövessék a gyártó által kiadott legfrissebb védelmi útmutatókat és telepítsék a frissítéseket.

2025, adrienne, www.bleepingcomputer.com alapján