概要：Cisco IOS XEの脆弱性とBadCandyインプラント

セキュリティ研究者とオーストラリア当局は、Cisco IOS XEデバイスを標的としたBadCandyインプラントの悪用活動が継続していると警告しています。この攻撃は、以前から知られている重大な脆弱性を利用しており、新たな攻撃の波として再燃しています。

脆弱性の詳細と過去の経緯

悪用されている脆弱性はCVE-2023-20198として追跡されており、Cisco IOS XEソフトウェアのウェブユーザーインターフェースを悪用するものです。この脆弱性は深刻度スコア10と評価されており、2023年にはゼロデイ脆弱性として開示され、当時42,000台以上のデバイスがすでに悪用されていました。

新たな攻撃の波と世界的な影響

国家支援型および犯罪組織のハッカーは、2023年以来、この脆弱性を悪用して標的システムにBadCandyをインストールしており、定期的に攻撃を再開しています。オーストラリア信号局は、7月以降、国内で400台以上のデバイスが侵害された可能性があり、10月時点でも150台以上が依然として侵害された状態にあると警告しました。Shadowserver Foundationは、世界中で15,000台以上のデバイスにバックドアインプラントが残っていると報告しており、脅威活動が広範囲に及んでいることを示しています。

攻撃者の特定と関連活動

以前、GreyNoiseの研究者は、Cisco機器に対する一連の攻撃を、2024年に米国の主要通信事業者を標的とした中国の国家支援型グループSalt Typhoonに関連付けました。Rapid7も、中国の国家支援型アクターに関連する「CN Clustered activities」を観測していますが、特定のグループへの明確な帰属はできないとしています。

推奨される対策

オーストラリア当局は、デバイスを再起動することで感染が除去されると述べています。しかし、攻撃者がすでに認証情報を取得しているか、別の方法で永続性を維持している場合、デバイス内に留まる可能性があるため注意が必要です。CISA（サイバーセキュリティ・インフラセキュリティ庁）は、2023年にこのCiscoの脆弱性を既知の悪用済み脆弱性カタログに追加し、追加の緩和策ガイダンスを提供しています。

元記事: https://www.cybersecuritydive.com/news/hackers-cisco-ios-xe-devices-badcandy-implant/804753/