Siber Güvenlik, Tehdit İstihbaratı, Zafiyetler

ASD, Cisco IOS XE’deki CVE-2023-20198 Açığını Kullanan BADCANDY Saldırılarına Dikkat Çekti

Kasım 2, 2025Kasım 2, 2025Tarafından Cybernews.TR
46
ASD, Cisco IOS XE’deki CVE-2023-20198 Açığını Kullanan BADCANDY Saldırılarına Dikkat Çekti

Avustralya Siber Güvenlik Merkezi (ASD), Cisco IOS XE işletim sistemine sahip yamalanmamış cihazları hedef alan ve daha önce belgelenmemiş BADCANDY adlı bir implantla gerçekleştirilen devam eden siber saldırılar konusunda uyarıda bulundu. Bu saldırılar, kritik bir güvenlik açığı olan CVE-2023-20198 üzerinden kimlik doğrulaması olmadan uzaktan ayrıcalıklı hesap oluşturulmasına olanak tanıyor ve CVSS skoru 10.0 olarak derecelendiriliyor.

BADCANDY ve Saldırı Teknikleri

BADCANDY, düşük karmaşıklıkta Lua tabanlı bir web kabuğu olarak tanımlanıyor. Siber saldırganlar, cihazın güvenlik açığını gizlemek için saldırı sonrası kalıcı olmayan yamalar uyguluyor. Bu nedenle, implant sistem yeniden başlatıldığında ortadan kalksa da, cihaz internete açık ve yamalanmamışsa tehdit aktörleri kötü amaçlı yazılımı yeniden yükleyerek erişimi tekrar kazanabiliyor. ASD, bu implantın varlığının cihazın CVE-2023-20198 açığı üzerinden ele geçirildiğinin bir göstergesi olduğunu belirtiyor.

Tehdit Aktörleri ve Etki Alanı

2023’ten beri aktif olan bu açığı Çin bağlantılı Salt Typhoon gibi gelişmiş tehdit aktörleri kullanıyor. ASD, Ekim 2023’ten itibaren BADCANDY varyantlarının tespit edildiğini ve 2024-2025 yıllarında saldırıların devam ettiğini raporladı. Temmuz 2025 itibarıyla Avustralya’da yaklaşık 400 cihazın enfekte olduğu, sadece Ekim ayında 150 cihazın etkilendiği tahmin ediliyor.

Teknik Önlemler ve Tavsiyeler

ASD, sistem operatörlerinin Cisco tarafından yayımlanan sertleştirme yönergelerini takip etmesi ve yamaları zamanında uygulamasının önemini vurguluyor. Ayrıca, web kullanıcı arayüzünün genel erişiminin sınırlandırılması gerekiyor. Önerilen diğer önlemler arasında; ayrıcalık seviyesi 15 olan hesapların gözden geçirilmesi, “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager” gibi rastgele diziler içeren veya şüpheli hesapların kaldırılması, bilinmeyen tünel arayüzlerinin incelenmesi ve TACACS+ AAA komut hesaplama kayıtlarının analiz edilmesi yer alıyor.

İleri Düzey Teknik Detaylar

BADCANDY implantının yapısı, Lua tabanlı olması nedeniyle hafif ve kolayca entegre edilebilir. Bu, MCP istemcisi ve AsyncRAT gibi uzaktan erişim araçlarının bazı özelliklerini andırıyor. Ayrıca, saldırganlar konteyner ortamlarında rastgele SSH portları kullanarak tespit edilme riskini azaltıyor. Pydantic AI gibi modern analiz araçları, bu tür saldırıların davranışsal tespiti için kullanılabilir. Bu nedenle, ağ trafiği ve cihaz günlüklerinin detaylı analizi, saldırının erken aşamada fark edilmesi için kritik öneme sahip.

, , , , , , ,