Alerte sécurité : la vulnérabilité Cisco IOS XE largement exploitée pour déployer BADCANDY

Alerte sécurité : la vulnérabilité Cisco IOS XE largement exploitée pour déployer BADCANDY

Les autorités de cybersécurité du monde entier émettent des alertes urgentes alors que des acteurs de menace continuent d’exploiter une vulnérabilité critique dans les périphériques Cisco IOS XE, déployant un implant malveillant connu sous le nom de BADCANDY à travers les réseaux mondiaux. Selon le Australian Signals Directorate (ASD), plus de 150 appareils restent compromis en Australie seule à la fin octobre 2025, malgré les efforts de remédiation continus qui ont commencé lorsque la vulnérabilité a été utilisée pour la première fois en octobre 2023.

Cette campagne d’exploitation représente une menace sophistiquée mais accessible pour les organisations qui s’appuient sur le logiciel Cisco IOS XE avec des capacités d’interface utilisateur web. Face à cette menace persistante, il est crucial de comprendre les mécanismes de l’attaque, son étendue et les mesures de protection appropriées.

Origines et mécanismes de l’attaque BADCANDY

La vulnérabilité CVE-2023-20198

La base de cette campagne d’exploitation réside dans CVE-2023-20198, une vulnérabilité critique qui permet aux attaquants distants et non authentifiés de créer des comptes hautement privilégiés sur les systèmes vulnérables et d’établir un contrôle complet sur les périphériques affectés. Cette faille se situe dans l’interface utilisateur web du logiciel Cisco IOS XE et constitue une porte d’entrée privilégiée pour les acteurs de menace.

Selon les analyses menées par l’ANSSI, cette vulnérabilité a été classée parmi les plus exploitées en 2023, démontrant son attraction pour à la fois les syndicats criminels et les acteurs de menace soutenus par des États. Dans la pratique, l’exploitation de cette vulnérabilité ne nécessite aucune authentification préalable, ce qui la rend particulièrement dangereuse pour les périphériques exposés directement à Internet.

Expertise technique : L’exploitation réussie de CVE-2023-20198 permet aux attaquants d’exécuter du code arbitraire avec les privilèges du système, leur donnant un contrôle total sur le périphérique. Cela inclut la capacité de modifier la configuration, d’intercepter le trafic réseau et d’établir des mécanismes de persistance.

Le fonctionnement de l’implant BADCANDY

BADCANDY est un web shell basé sur Lua qui cible spécifiquement les périphériques Cisco IOS XE dotés d’une interface utilisateur web. Une fois déployé, cet implant offre aux attaquants une interface de commande à distance, leur permettant d’exécuter des commandes système, de voler des informations sensibles et de déplacer latéralement à travers le réseau.

Bien que classé comme un implant à faible équité qui ne survit pas au redémarrage des périphériques, sa nature non persistante offre peu de réconfort aux équipes de sécurité. En effet, les attaquants développent rapidement des variantes de BADCANDY tout au long de 2024 et 2025, indiquant un développement et un déploiement continus par plusieurs groupes d’acteurs de menace.

Dans la pratique, nous avons observé que les attaquants utilisent souvent BADCANDY comme première étape, établissant ensuite des mécanismes de persistance alternatifs qui survivent même après la suppression de l’implant initial. Cela crée des scénarios où les attaquants maintiennent l’accès aux réseaux compromis longtemps après l’élimination du vecteur d’infection initial.

Portée de la menace : une campagne d’exploitation mondiale

Impact sur les réseaux australiens

Depuis juillet 2025, les évaluations de l’ASD indiquent que plus de 400 appareils australiens ont potentiellement été compromis avec BADCANDY, démontrant l’ampleur et la persistance de cette campagne d’exploitation. Bien que le nombre d’appareils compromis ait diminué de plus de 400 à moins de 200 entre 2023 et 2025, les fluctuations persistantes dans les données des compromissions indiquent une activité de ré-exploitation continue.

Une statistique particulièrement alarmante révèle que malgré les efforts de remédiation, plus de 150 appareils restaient compromis en Australie à la fin octobre 2025. Ce chiffre suggère que de nombreuses organisations n’ont pas complètement résolu la vulnérabilité ou ont négligé d’appliquer les correctifs appropriés.

Donnée chiffrée : Selon le rapport de l’ASD sur BADCANDY, les appareils compromis sont principalement des routeurs et des commutateurs critiques qui fournissent une sécurité périmétrique aux réseaux d’entreprise, ce qui en fait des cibles de valeur élevée pour les attaquants.

Acteurs impliqués et motivations

La vulnérabilité Cisco IOS XE a attiré l’attention à la fois des syndicats criminels et des acteurs de menace soutenus par des États, notamment le groupe notoire SALT TYPHOON. Cette diversité d’acteurs suggère que la vulnérabilité sert à la fois des objectifs financiers et d’espionnage.

En pratique, les acteurs de menace financièrement motivés utilisent l’accès obtenu pour voler des informations sensibles, déployer des rançongiciels ou exfiltrer des données client. D’autre part, les groupes soutenus par des États peuvent utiliser cet accès pour des opérations d’espionnage à long terme, la surveillance des communications et la collecte d’informations économiques ou géopolitiques.

Nous avons observé un schéma préoccupant de ré-exploitation ciblant les périphériques précédemment compromis où les organisations n’ont pas appliqué les correctifs nécessaires ou ont laissé l’interface web exposée au trafic Internet. Les analystes en cybersécurité croient que les acteurs de menace ont développé des capacités de détection qui les alertent lorsque les implants BADCANDY sont supprimés, déclenchant immédiatement des tentatives de ré-exploitation.

Stratégies de dissimulation et de persistance

Techniques de camouflage des attaquants

Ce qui rend cette campagne particulièrement préoccupante, c’est l’approche systématique des acteurs de menace pour le camouflage. Après la compromission initiale, les attaquants appliquent généralement un correctif non persistant qui masque l’état de vulnérabilité du périphérique, rendant la détection significativement plus difficile pour les défenseurs du réseau.

Cette technique de dissimulation permet aux attaquants de maintenir l’accès au réseau sans éveiller les soupçons des équipes de sécurité. En pratique, cela signifie que même les audits de sécurité réguliers peuvent manquer de détecter la compromission si les attaquants ont réussi à appliquer ce correctif de camouflage.

• Modification des journaux système : Les attaquants modifient souvent les journaux pour masquer leurs activités
• Création de comptes utilisateurs masqués : Les comptes privilégiés créés sont souvent nommés de manière à se fondre avec les comptes système légitimes
• Chiffrement des communications : L’implant utilise souvent des canaux de communication chiffrés pour éviter la détection
• Utilisation de protocoles légitimes : Les attaquants exploitent des protocoles réseau standard pour masquer leur trafic malveillant

Mécanismes de persistance alternatifs

Une fois que les attaquants ont obtenu un accès initial par l’exploitation de CVE-2023-20198, ils récoltent fréquemment les informations d’identification des comptes ou établissent des mécanismes de persistance alternatifs qui survivent même après la suppression du BADCANDY.

Ces mécanismes de persistance alternatifs comprennent la modification de la configuration du périphérique pour créer des backdoors, l’installation de services ou de processus malveillants qui se réinitialisent au démarrage, et l’utilisation de mécanismes de planification pour relancer l’implant après un redémarrage du système.

En outre, les acteurs de menace ont développé des techniques pour contourner les mécanismes de sécurité natifs de Cisco, y compris la désactivation des fonctionnalités de journalisation et de surveillance, et l’exploitation de faiblesses dans le processus d’authentification du périphérique.

Mesures de protection et de remédiation

Actions immédiates recommandées

Les autorités australiennes en cybersécurité mènent des campagnes de notification aux victimes via les fournisseurs de services, exhortant les organisations à mettre en œuvre des mesures de protection immédiates. Les actions critiques comprennent l’examen des configurations en cours pour les comptes de privilège 15 avec des noms suspects tels que « cisco_tac_admin », « cisco_support », « cisco_sys_manager » ou des chaînes de caractères aléatoires, et la suppression de tout compte non autorisé découvert.

Les organisations doivent également examiner les configurations pour les interfaces de tunnel inconnues et consulter les journaux de comptabilité de commandes TACACS+ AAA pour rechercher des preuves de modifications de configuration non autorisées.

1. Examen des comptes privilégiés : Rechercher et supprimer immédiatement tout compte utilisateur avec des privilèges élevés dont l’origine est incertaine
2. Audit des configurations réseau : Vérifier l’existence d’interfaces ou de services réseau non autorisés
3. Analyse des journaux système : Examiner les journaux d’audit à la recherche d’activité suspecte ou de modifications non autorisées
4. Isolation des périphériques compromis : Séparer immédiatement les périphériques suspects du réseau principal jusqu’à leur remédiation
5. Activation de la journalisation détaillée : S’assurer que tous les événements de configuration et de connexion sont enregistrés

Stratégies de durcissement des périphériques

La mesure de protection essentielle reste l’application du correctif officiel de Cisco pour CVE-2023-20198, disponible par l’intermédiaire de l’avis de sécurité de l’entreprise pour plusieurs vulnérabilités dans les fonctionnalités de l’interface utilisateur Web du logiciel Cisco IOS XE. Bien que le redémarrage des périphériques compromis supprimera l’implant BADCANDY, cette action seule ne fournit pas une protection suffisante sans correctif et durcissement appropriés.

Les organisations doivent désactiver la fonctionnalité du serveur HTTP si elle n’est pas opérationnellement requise et mettre en œuvre des stratégies de sécurité de périphérique d’edge complémentaires en suivant le guide de durcissement d’IOS XE de Cisco. Le guide de durcissement recommande plusieurs actions supplémentaires pour sécuriser les périphériques réseau :

En outre, les organisations doivent implémenter des stratégies de gestion des configurations pour garantir que tous les changements sont approuvés, enregistrés et annulables si nécessaire. Cela inclut l’utilisation de systèmes de contrôle de version pour les configurations réseau et l’automatisation des processus de remédiation pour réduire le temps de réponse en cas de compromission.

Conclusion : une menace persistante nécessitant une vigilance constante

La vulnérabilité Cisco IOS XE et l’implant BADCANDY représentent une menace persistante pour les organisations du monde entier. La diminution progressive du nombre d’appareils compromis en Australie, passant de plus de 400 à moins de 200 entre 2023 et 2025, démontre des progrès, cependant les fluctuations persistantes dans les données de compromission indiquent une activité de ré-exploitation continue.

Face à cette menace complexe, les organisations doivent adopter une approche multicouche de la sécurité des périphériques réseau, combinant le patching rapide, le durcissement approprié et la surveillance continue. Comme les périphériques d’edge représentent des composants réseau critiques fournissant une sécurité périmétrique, les organisations doivent donner la priorité à la remédiation immédiate pour éliminer ce vecteur de persistance qui continue de menacer les réseaux australiens et les infrastructures mondiales.

La cybersécurie n’est pas un état statique mais un processus continu. La vulnérabilité Cisco IOS XE nous rappelle l’importance de maintenir une posture de sécurité proactive, avec des processus de remédiation bien définis et une sensibilisation constante aux nouvelles menaces émergentes.