Ruim 14.000 Cisco-routers geïnfecteerd met Badcandy-backdoor

[Captain Kirk]

Wereldwijd zijn ruim veertienduizend Cisco-routers en -switches, waaronder 129 in Nederland, geïnfecteerd met de Badcandy-backdoor, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. De Australische overheid kwam vorige week met een waarschuwing voor de backdoor, die via een uit 2023 stammende kwetsbaarheid op apparaten wordt geïnstalleerd. Hoewel de backdoor al geruime tijd bekend is, zijn er nog tal van Cisco-apparaten die ermee besmet zijn.

Het beveiligingslek, aangeduid als CVE-2023-20198, bevindt zich in de web user interface van IOS XE, het besturingssysteem dat op routers en switches van Cisco draait. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller een account met 'privilege 15' aanmaken en zo controle over het systeem krijgen. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Zodra de aanvallers achter de Badcandy-backdoor toegang tot een router of switch hebben installeren ze niet alleen de backdoor, maar patchen ook de kwetsbaarheid CVE-2023-20198. Zowel de backdoor als toegepaste patch kunnen een reboot van het apparaat niet overleven. Aanvallers kunnen echter via gestolen inloggegevens of andere kwetsbaarheden wel toegang tot een gecompromitteerd device behouden.

The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op interne en voert sinds de ontdekking van Badcandy scans uit naar gebackdoorde Cisco-apparaten. De afgelopen drie maanden lag het hoogtepunt op achttienduizend besmette routers en switches. Dat is inmiddels naar ruim veertienduizend gedaald. Daarvan bevinden zich er 129 in Nederland. Het grootste aantal werd in Mexico en de Verenigde Staten waargenomen.

 

bron: https://www.security.nl