概要:Cisco IOS XEの脆弱性とBADCANDYの脅威
サイバーセキュリティ当局は、Cisco IOS XEデバイスの深刻な脆弱性が悪用され続けていることに対し、緊急の警告を発しています。この脆弱性を悪用し、悪意のあるインプラント「BADCANDY」が世界中のネットワークに展開されています。オーストラリア信号局(ASD)は、2023年10月にこの脆弱性が初めて武器化されて以来、継続的な修復努力にもかかわらず、2025年10月下旬の時点でオーストラリア国内で150台以上のデバイスが依然として侵害されていることを確認しました。
BADCANDYインプラントの詳細と攻撃手法
BADCANDYインプラントは、ウェブユーザーインターフェース機能を備えたCisco IOS XEソフトウェアに依存する組織にとって、洗練されていながらもアクセスしやすい脅威です。これはLuaベースのウェブシェルであり、CVE-2023-20198という重大な脆弱性を悪用します。これにより、認証されていないリモート攻撃者は、脆弱なシステム上に高い特権を持つアカウントを作成し、影響を受けるデバイスを完全に制御することが可能になります。
このキャンペーンが特に懸念されるのは、攻撃者が組織的な隠蔽アプローチを取っている点です。初期の侵害後、攻撃者は通常、デバイスの脆弱性ステータスを隠蔽する非永続的なパッチを適用するため、ネットワーク防御者による検出が著しく困難になります。ASDの評価によると、2025年7月以降、400台以上のオーストラリアのデバイスがBADCANDYによって侵害された可能性があり、この悪用キャンペーンの規模と持続性を示しています。セキュリティ研究者は、2024年から2025年にかけてBADCANDYインプラントの亜種が継続的に出現していることを記録しており、複数の脅威アクターグループによる持続的な開発と展開を示唆しています。
永続的な脅威と再悪用のサイクル
BADCANDYはデバイスの再起動で消滅する「低エクイティ」なインプラントに分類されますが、その非永続的な性質はセキュリティチームにとってほとんど安心材料になりません。この脆弱性は、犯罪組織や国家支援型攻撃者(悪名高いSALT TYPHOONグループを含む)の両方から注目されており、2023年には最も日常的に悪用された脆弱性の一つとして認識されました。
脅威アクターがCVE-2023-20198の悪用を通じて初期アクセスを獲得すると、彼らは頻繁にアカウントの資格情報を収集したり、BADCANDYインプラントが削除された後も存続する代替の永続化メカニズムを確立したりします。これにより、初期の感染経路が排除された後も攻撃者が侵害されたネットワークへのアクセスを維持し、ラテラルムーブメント、データ流出、長期的なスパイ活動を可能にするシナリオが生まれます。
ASDは、必要なパッチを適用しなかったり、ウェブインターフェースをインターネットトラフィックに露出させたままにしていたりする、以前に侵害されたデバイスを標的とした再悪用の憂慮すべきパターンを観測しています。サイバーセキュリティアナリストは、脅威アクターがBADCANDYインプラントが削除された際に警告を発する検出機能を開発しており、即座に再悪用をトリガーしていると考えています。これにより、根本的な脆弱性に対処せずにデバイスを再起動するだけの組織が繰り返し侵害されるという危険なサイクルが生じています。
推奨される対策と緊急の対応
オーストラリアのサイバーセキュリティ当局は、サービスプロバイダーを通じて包括的な被害者通知キャンペーンを実施し、組織に即時の保護措置を講じるよう促しています。重要な対策は以下の通りです。
- 「cisco_tac_admin」、「cisco_support」、「cisco_sys_manager」、またはランダムな文字列などの疑わしい名前を持つ特権15アカウントがないか、実行中の設定を確認し、発見された不正なアカウントを削除する。
- 不明なトンネルインターフェースがないか設定を調査する。
- 不正な設定変更の証拠がないか、TACACS+ AAAコマンドアカウンティングログを確認する。
- 最も不可欠な保護措置は、Ciscoの公式パッチをCVE-2023-20198に適用することです。これは、Cisco IOS XEソフトウェアのWeb UI機能における複数の脆弱性に関する同社のセキュリティアドバイザリを通じて入手できます。
- 侵害されたデバイスを再起動するだけではBADCANDYインプラントは削除されますが、パッチ適用と適切な強化なしでは不十分な保護しか提供しません。
- 運用上不要な場合は、HTTPサーバー機能を無効にする必要があります。
- CiscoのIOS XE強化ガイドに従って、包括的なエッジデバイスセキュリティ戦略を実装する。
2023年後半の400台以上から2025年には200台未満に減少したという緩やかな改善は見られますが、侵害データの継続的な変動は、進行中の再悪用活動を示しています。エッジデバイスは境界セキュリティを提供する重要なネットワークコンポーネントであるため、組織は、オーストラリアのネットワークとグローバルインフラストラクチャを危険にさし続けているこの永続的な脅威ベクトルを排除するために、即時の修復を優先する必要があります。