-
09/04/2020
-
118
-
1.230 bài viết
BADCANDY tái bùng phát: Mã độc “ẩn thân” khai thác lỗ hổng Cisco IOS XE
Cục Tín hiệu Australia (ASD), cơ quan tình báo mạng của nước này vừa phát cảnh báo khẩn về chiến dịch tấn công mạng liên tục khi khai thác lỗ hổng nghiêm trọng CVE-2023-20198 trong hệ điều hành Cisco IOS XE. Hàng trăm thiết bị mạng tại Úc đã bị cài mã độc ngầm BADCANDY - một implant (mã độc cài cắm) viết bằng ngôn ngữ Lua, hoạt động như web shell cho phép tin tặc duy trì quyền truy cập vào thiết bị bị xâm nhập.
Hoạt động khai thác này bắt đầu từ cuối năm 2023 và vẫn tiếp diễn mạnh trong 2024 - 2025. Kể từ tháng 7/2025, khoảng 400 thiết bị Cisco tại Úc đã bị xâm nhập, riêng tháng 10 có tới 150 thiết bị bị cài mã độc BADCANDY.
Mã độc này sẽ biến mất khi thiết bị được khởi động lại nhưng nếu lỗ hổng vẫn chưa được vá và thiết bị tiếp tục kết nối Internet, tin tặc có thể nhanh chóng cài lại để chiếm quyền lần nữa.
ASD cho biết, các nhóm tấn công có khả năng theo dõi những thiết bị đã gỡ mã độc và sẽ cài lại implant ngay khi phát hiện hệ thống chưa được khắc phục triệt để. Việc khởi động lại chỉ tạm thời xóa mã độc nhưng không loại bỏ được các thay đổi khác mà tin tặc đã thực hiện.
Các chuyên gia WhiteHat nhấn mạnh việc nên vá ngay lỗ hổng CVE-2023-20198 để ngăn chặn nguy cơ bị chiếm quyền từ xa. Quản trị viên cần hạn chế truy cập giao diện web của thiết bị từ Internet đồng thời áp dụng các hướng dẫn hardening mà Cisco đã công bố.
ASD của Úc cũng đưa ra các khuyến cáo bổ sung:
Bản chất tấn công
Theo ASD, các nhóm tin tặc trong đó có Salt Typhoon đang lợi dụng lỗ hổng CVE-2023-20198 (điểm CVSS 10,0) cho phép tạo tài khoản quản trị từ xa mà không cần xác thực, từ đó chiếm quyền điều khiển thiết bị Cisco IOS XE.Hoạt động khai thác này bắt đầu từ cuối năm 2023 và vẫn tiếp diễn mạnh trong 2024 - 2025. Kể từ tháng 7/2025, khoảng 400 thiết bị Cisco tại Úc đã bị xâm nhập, riêng tháng 10 có tới 150 thiết bị bị cài mã độc BADCANDY.
BADCANDY - Mã độc ngầm, ẩn thân khó phát hiện
BADCANDY là web shell viết bằng ngôn ngữ Lua, được cài sau khi kẻ tấn công chiếm quyền. Đáng chú ý, chúng thường vá tạm lỗ hổng ngay sau khi xâm nhập để che giấu việc thiết bị đã bị tấn công.Mã độc này sẽ biến mất khi thiết bị được khởi động lại nhưng nếu lỗ hổng vẫn chưa được vá và thiết bị tiếp tục kết nối Internet, tin tặc có thể nhanh chóng cài lại để chiếm quyền lần nữa.
ASD cho biết, các nhóm tấn công có khả năng theo dõi những thiết bị đã gỡ mã độc và sẽ cài lại implant ngay khi phát hiện hệ thống chưa được khắc phục triệt để. Việc khởi động lại chỉ tạm thời xóa mã độc nhưng không loại bỏ được các thay đổi khác mà tin tặc đã thực hiện.
Khuyến cáo từ chuyên gia WhiteHat
Theo một số báo cáo, CVE-2023-20198 nằm trong nhóm lỗ hổng bị khai thác phổ biến tại Việt Nam trong thời gian gần đây. Điều này cho thấy nguy cơ đối với các tổ chức trong nước là hoàn toàn hiện hữu, đặc biệt với các doanh nghiệp, nhà mạng và cơ quan nhà nước đang sử dụng thiết bị Cisco IOS XE chưa được cập nhật bản vá hoặc vẫn mở giao diện quản trị ra Internet.Các chuyên gia WhiteHat nhấn mạnh việc nên vá ngay lỗ hổng CVE-2023-20198 để ngăn chặn nguy cơ bị chiếm quyền từ xa. Quản trị viên cần hạn chế truy cập giao diện web của thiết bị từ Internet đồng thời áp dụng các hướng dẫn hardening mà Cisco đã công bố.
ASD của Úc cũng đưa ra các khuyến cáo bổ sung:
- Kiểm tra cấu hình đang chạy để phát hiện tài khoản có đặc quyền cấp 15 hoặc tài khoản bất thường.
- Xoá ngay các tài khoản nghi ngờ, đặc biệt là những tên mặc định hoặc giả mạo như “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager” hay các chuỗi ký tự ngẫu nhiên.
- Rà soát các tunnel interface lạ và kiểm tra log TACACS+ AAA nếu có bật ghi nhận thay đổi cấu hình.
Theo The Hacker News