はじめに: Cisco IOS XEの深刻な脆弱性
サイバーセキュリティ当局は、Cisco IOS XEデバイスの重大な脆弱性(CVE-2023-20198)が悪用され続け、悪意のあるインプラント「BADCANDY」が世界中のネットワークに拡散しているとして、緊急の警告を発しています。オーストラリア信号局(ASD)は、2023年10月にこの脆弱性が初めて悪用されて以来、継続的な修復努力にもかかわらず、2025年10月下旬時点でオーストラリア国内だけでも150台以上のデバイスが依然として侵害されていることを確認しました。
BADCANDYインプラントの脅威
BADCANDYインプラントは、ウェブユーザーインターフェース機能を備えたCisco IOS XEソフトウェアに依存する組織にとって、洗練されていながらもアクセスしやすい脅威です。このLuaベースのウェブシェルは、CVE-2023-20198を悪用し、リモートの認証されていない攻撃者が脆弱なシステム上に高度な特権を持つアカウントを作成し、影響を受けるデバイスを完全に制御することを可能にします。このキャンペーンが特に懸念されるのは、攻撃者が初期侵害後に非永続的なパッチを適用してデバイスの脆弱性ステータスを隠蔽し、ネットワーク防御者による検出を著しく困難にしている点です。
攻撃の継続性と再悪用の手口
ASDの評価によると、2025年7月以降、400台以上のオーストラリアのデバイスがBADCANDYによって潜在的に侵害された可能性があり、この悪用キャンペーンの規模と持続性を示しています。BADCANDYはデバイスの再起動後には残らない「低エクイティ」なインプラントに分類されますが、その非永続的な性質はセキュリティチームにとって安心材料にはなりません。この脆弱性は、犯罪シンジケートや国家支援型アクター(悪名高いSALT TYPHOONグループを含む)の両方から注目されており、2023年には最も頻繁に悪用される脆弱性の一つとして認識されました。
攻撃者はCVE-2023-20198の悪用を通じて初期アクセスを獲得した後、アカウントの認証情報を収集したり、BADCANDYインプラントが削除された後も存続する代替の永続化メカニズムを確立したりすることが頻繁にあります。これにより、初期の感染経路が排除された後も攻撃者が侵害されたネットワークへのアクセスを維持し、ラテラルムーブメント、データ流出、長期的なスパイ活動を可能にするシナリオが生まれます。ASDは、必要なパッチを適用しなかったり、ウェブインターフェースをインターネットトラフィックに公開したままにしている以前に侵害されたデバイスを標的とした、再悪用の憂慮すべきパターンを観察しています。サイバーセキュリティアナリストは、攻撃者がBADCANDYインプラントが削除された際に警告する検出機能を開発しており、これが即座の再悪用を誘発していると考えています。
組織が取るべき緊急対策
オーストラリアのサイバーセキュリティ当局は、サービスプロバイダーを通じて包括的な被害者通知キャンペーンを実施し、組織に即時の保護措置を講じるよう強く求めています。重要な対策は以下の通りです。
- 「cisco_tac_admin」、「cisco_support」、「cisco_sys_manager」、またはランダムな文字列などの不審な特権15アカウントがないか、実行中の設定を確認し、発見された不正なアカウントを削除する。
- 不明なトンネルインターフェースがないか設定を調査し、不正な設定変更の証拠がないかTACACS+ AAAコマンドアカウンティングログを確認する。
- Cisco IOS XEソフトウェアWeb UI機能の複数の脆弱性に関するCiscoのセキュリティアドバイザリを通じて提供されている、CVE-2023-20198の公式パッチを適用する。
- 侵害されたデバイスを再起動するだけではBADCANDYインプラントは削除されますが、パッチ適用と適切な強化なしでは不十分な保護しか提供されません。
- 運用上必要ない場合は、HTTPサーバー機能を無効にする。
- CiscoのIOS XE強化ガイドに従って、包括的なエッジデバイスセキュリティ戦略を実装する。
2023年後半の400台以上から2025年には200台未満へと着実に減少していることは進展を示していますが、侵害データの継続的な変動は、再悪用活動が続いていることを示しています。エッジデバイスは境界セキュリティを提供する重要なネットワークコンポーネントであるため、組織は、オーストラリアのネットワークとグローバルインフラストラクチャを危険にさらし続けるこの永続的な脅威ベクトルを排除するために、即時の修復を優先する必要があります。