概要と背景
オーストラリア政府は、国内の未パッチのCisco IOS XEデバイスに対する継続的なサイバー攻撃について警告を発しています。これらの攻撃では、「BadCandy」と呼ばれるウェブシェルがルーターに感染させられています。
悪用されている脆弱性は、最大深刻度の「CVE-2023-20198」です。この脆弱性により、リモートの認証されていない攻撃者は、ウェブユーザーインターフェースを介してローカル管理者ユーザーを作成し、デバイスを乗っ取ることが可能になります。Ciscoは2023年10月にこの脆弱性を修正しましたが、多くのデバイスが依然としてパッチ未適用状態にあることが示唆されています。
BadCandyウェブシェルの詳細
オーストラリア当局は、2024年から2025年にかけても、同じLuaベースのBadCandyウェブシェルの亜種が攻撃に利用され続けていると警告しています。これは、多くのCiscoデバイスが依然としてパッチ未適用であることを示しています。
BadCandyが一度インストールされると、リモート攻撃者は侵害されたデバイス上でルート権限でコマンドを実行できるようになります。このウェブシェルはデバイスの再起動時に削除されますが、パッチが適用されていないデバイスでは、ウェブインターフェースがアクセス可能な限り、攻撃者は容易に再感染させることが可能です。
感染状況と再攻撃の脅威
オーストラリア信号局(ASD)の評価によると、2025年7月以降、オーストラリア国内で400台以上のデバイスがBadCandyに感染した可能性があります。2025年10月下旬の時点で、依然として150台以上のデバイスがBadCandyに感染していると報告されています。
感染数は減少傾向にあるものの、ASDは同じエンドポイントに対する脆弱性の再悪用の兆候を確認しています。攻撃者はBadCandyインプラントが削除されたことを検知し、同じデバイスを標的として再感染させることが可能であるとされています。
当局の対応と推奨事項
継続する攻撃に対し、オーストラリア信号局(ASD)は被害者に対し、パッチ適用、デバイスの強化、およびインシデント対応に関する指示を含む通知を送付しています。所有者が特定できないデバイスについては、ASDはインターネットサービスプロバイダーに対し、被害者に代わって連絡を取るよう要請しています。
ASDは、この脆弱性が過去に中国の「Salt Typhoon」のような国家支援型アクターによって悪用されたことがあると指摘しています。BadCandyは理論的には誰でも使用できますが、最近の感染急増は「国家支援型サイバーアクター」によるものと推測されています。
Cisco IOS XEシステム管理者は、ベンダーのセキュリティ速報に記載されている緩和策と、Ciscoが公開している詳細なIOS XEデバイス強化ガイドに従うことが強く推奨されます。