รัฐบาลออสเตรเลียกำลังออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังเกิดขึ้นอย่างต่อเนื่องกับอุปกรณ์ Cisco IOS XE ที่ยังไม่ได้ทำการอัปเดตแพตช์ภายในประเทศ ซึ่งอาจทำให้เราเตอร์ติด BadCandy webshell

ช่องโหว่ที่ถูกใช้ในการโจมตีเหล่านี้คือ CVE-2023-20198 ซึ่งเป็นช่องโหว่ระดับความรุนแรงสูงสุด ที่ช่วยให้ผู้โจมตีจากภายนอกซึ่งไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถสร้างบัญชีผู้ดูแลระบบผ่านทางเว็บอินเทอร์เฟซ และเข้าควบคุมอุปกรณ์ได้

Cisco ได้แก้ไขช่องโหว่นี้ไปเมื่อเดือนตุลาคม 2023 ซึ่งในขณะนั้นถูกจัดว่าเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง สองสัปดาห์ต่อมาได้มีการเผยแพร่ public exploit ออกมา ซึ่งยิ่งกระตุ้นให้เกิดการโจมตีเป็นวงกว้างเพื่อฝังแบ็คดอร์บนอุปกรณ์ที่เข้าถึงได้จากอินเทอร์เน็ต

ทางการออสเตรเลียเตือนว่า BadCandy web shells ในรูปแบบต่าง ๆ ยังคงถูกใช้ในการโจมตีตลอดปี 2024 และ 2025 ซึ่งแสดงให้เห็นว่าอุปกรณ์ Cisco จำนวนมากยังคงไม่ได้รับการอัปเดตแพตช์

เมื่อติดตั้งแล้ว BadCandy จะทำให้ผู้โจมตีสามารถสั่งการคำสั่งด้วยสิทธิ์ root บนอุปกรณ์ที่ถูกเจาะได้

Web shells จะถูกลบออกจากอุปกรณ์เมื่อมีการรีบูท อย่างไรก็ตาม เนื่องจากอุปกรณ์เหล่านั้นยังไม่ได้อัปเดตแพตช์ และหากยังสามารถเข้าถึงเว็บอินเทอร์เฟซได้ ผู้โจมตีจะสามารถนำ Web shells กลับมาใช้งานได้อีกครั้ง

ประกาศเตือนระบุว่า "ตั้งแต่เดือนกรกฎาคม 2025 ASD ประเมินว่ามีอุปกรณ์มากกว่า 400 เครื่องในออสเตรเลียที่อาจถูกเจาะด้วย BADCANDY" "ณ ปลายเดือนตุลาคม 2025 ยังคงมีอุปกรณ์มากกว่า 150 เครื่องในออสเตรเลียที่ถูกเจาะด้วย BADCANDY"

แม้ว่าจำนวนการติดมัลแวร์จะลดลง แต่หน่วยงานก็ได้เห็นสัญญาณของการโจมตีซ้ำโดยใช้ช่องโหว่เดิมกับอุปกรณ์เดิม แม้ว่าหน่วยงานที่ถูกเจาะระบบจะได้รับแจ้งเตือนอย่างเหมาะสมแล้วก็ตาม

ตามข้อมูลของหน่วยงาน ผู้โจมตีสามารถตรวจจับได้เมื่ออุปกรณ์ที่ถูกฝัง BadCandy ถูกลบออก และจะมุ่งเป้าไปที่อุปกรณ์เดิมเพื่อติดตั้ง BadCandy อีกครั้ง

เพื่อตอบสนองต่อการโจมตีที่กำลังดำเนินอยู่นี้ สำนักข่าวกรองกลางออสเตรเลีย (ASD) กำลังส่งการแจ้งเตือนไปยังเหยื่อ ซึ่งรวมถึงคำแนะนำเกี่ยวกับการอัปเดตแพตช์, การเสริมความแข็งแกร่งให้อุปกรณ์ และการดำเนินการตอบสนองต่อเหตุการณ์ สำหรับอุปกรณ์ที่ไม่สามารถระบุตัวตนเจ้าของได้ ASD ได้ขอให้ผู้ให้บริการอินเทอร์เน็ต ติดต่อเหยื่อเพื่อแจ้งเตือนพวกเขา

ASD ระบุว่า ช่องโหว่นี้เคยถูกใช้โจมตีโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ เช่น 'Salt Typhoon' จากจีน ซึ่งถือเป็นผู้รับผิดชอบต่อการโจมตีหลายครั้งที่มุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมรายใหญ่ทั่วสหรัฐอเมริกา และแคนาดา

หน่วยงานเชื่อว่า แม้ว่าตามทฤษฎีแล้ว BadCandy จะถูกนำไปใช้โดยใครก็ได้ แต่การโจมตีที่พุ่งสูงขึ้นในช่วงนี้สามารถเชื่อมโยงได้กับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ

ผู้ดูแลระบบ Cisco IOS XE ทั่วโลก รวมถึงในออสเตรเลีย ควรปฏิบัติตามคำแนะนำในการลดความเสี่ยง ของผู้ผลิตในแถลงการณ์ด้านความปลอดภัย

Cisco ยังได้เผยแพร่คู่มือการเสริมความแข็งแกร่งอย่างละเอียดสำหรับอุปกรณ์ IOS XE ด้วย

ที่มา : bleepingcomputer