هشدار به کاربران سیسکو: BadCandy آب‌نباتی با طعم تلخ نفوذ

استرالیا هشدار داد که یا وجود انتشار وصله امنیتی از سوی سیسکو، بسیاری از روترها هنوز در برابر حملات BadCandy بی‌دفاع‌اند.

به گزارش افتانا، دولت استرالیا نسبت به حملات سایبری گسترده‌ای که دستگاه‌های Cisco IOS XE وصله‌نشده را هدف قرار داده و آن‌ها را به بدافزار BadCandy آلوده می‌کند، هشدار داده است.

نقص امنیتی مورد سوءاستفاده در این حملات با شناسه CVE-2023-20198 شناخته می‌شود. این آسیب‌پذیری بسیار خطرناک به مهاجمان ناشناس اجازه می‌دهد بدون نیاز به احراز هویت، از طریق رابط وب دستگاه، یک حساب کاربریadmin ایجاد کرده و کنترل کامل سیستم را در اختیار بگیرند. شرکت سیسکو این ضعف امنیتی را در اکتبر ۲۰۲۳ برطرف کرد، اما اندکی پس از انتشار وصله، کد بهره‌برداری از این آسیب‌پذیری به‌صورت عمومی منتشر شد و همین مسئله باعث شد موجی از حملات برای نصب درِ پشتی بر روی روترهای متصل به اینترنت آغاز شود.

BadCandy به مهاجم اجازه می‌دهد از راه دور دستورات دلخواه را با سطح دسترسی ریشه (root) روی دستگاه اجرا کند. هرچند این وب‌شل پس از راه‌اندازی مجدد دستگاه حذف می‌شود، اما اگر سیستم همچنان وصله نشده و رابط وب آن فعال باشد، مهاجم به‌راحتی می‌تواند دوباره آن را نصب کند.

به گفته مقام‌های امنیتی استرالیا، نسخه‌های مختلفی از وب‌شل مبتنی بر زبان Lua موسوم به BadCandy هنوز هم در سال‌های ۲۰۲۴ و ۲۰۲۵ در حملات مورد استفاده قرار می‌گیرد، که نشان می‌دهد تعداد زیادی از دستگاه‌های سیسکو هنوز به‌روزرسانی نشده‌اند.

در بولتن سازمان امنیت سایبری استرالیا (ASD) آمده است: از ژوئیه ۲۰۲۵ تاکنون، بیش از ۴۰۰ دستگاه در استرالیا احتمالاً به بدافزار BadCandy آلوده شده‌اند و تا اواخر اکتبر، حدود ۱۵۰ دستگاه همچنان درگیر این آلودگی هستند.

اگرچه تعداد آلودگی‌ها روندی نزولی دارد، اما ASD گزارش داده که نشانه‌هایی از حملات مجدد به همان دستگاه‌ها مشاهده شده است؛ حتی در مواردی که مالکان قبلاً از نفوذ مطلع و نسبت به پاکسازی اقدام کرده‌اند. بر اساس این گزارش، مهاجمان می‌توانند متوجه حذف بدافزار از روی دستگاه شوند و بلافاصله همان هدف را دوباره مورد حمله قرار دهند.

در واکنش به این حملات، سازمان سیگنال‌های استرالیا (ASD) به ارسال هشدارهایی به قربانیان اقدام کرده که شامل دستورالعمل‌های وصله‌کردن، تقویت امنیت دستگاه و انجام پاسخ به حادثه (incident response) می‌شود. برای دستگاه‌هایی که مالک آن‌ها مشخص نیست، از ارائه‌دهندگان خدمات اینترنت (ISP) خواسته شده تا با صاحبان این دستگاه‌ها تماس بگیرند.

ASD همچنین یادآور شده که این آسیب‌پذیری پیش‌تر توسط گروه‌های هکری منسوب به چین، از جمله گروه Salt Typhoon، مورد سوءاستفاده قرار گرفته است؛ گروهی که پیش از این به حملات علیه شرکت‌های بزرگ مخابراتی در آمریکا و کانادا نیز متهم شده بود.

به گفته مقام‌های استرالیایی، هرچند از نظر فنی هر فردی می‌تواند از BadCandy استفاده کند، اما شواهد اخیر نشان می‌دهد بیشتر حملات جدید احتمالاً توسط بازیگران سایبری وابسته به دولت‌ها انجام می‌شود. مقام‌های امنیتی از مدیران شبکه در سراسر جهان، به‌ویژه در استرالیا، خواسته‌اند توصیه‌های امنیتی منتشرشده توسط سیسکو را برای وصله و ایمن‌سازی دستگاه‌های IOS XE دنبال کنند.