Il panorama della sicurezza informatica continua a essere minacciato da nuove varianti di malware e vulnerabilità critiche nei dispositivi di rete. Un recente avviso dell'Australian Signals Directorate (ASD) ha posto l'accento su una serie di attacchi mirati ai dispositivi Cisco IOS XE non aggiornati, sfruttando una vulnerabilità nota come CVE-2023-20198. Questo difetto, con punteggio CVSS pari a 10, consente a un attaccante remoto e non autenticato di creare account con privilegi elevati e acquisire il pieno controllo dei sistemi vulnerabili.

BADCANDY: una nuova minaccia sulle reti Cisco

Il malware protagonista di questa ondata di attacchi è stato denominato BADCANDY, una web shell scritta in Lua non documentata in precedenza. Dal 2023, questa vulnerabilità è stata attivamente sfruttata da gruppi di cybercriminali, inclusi alcuni legati alla Cina, che hanno preso di mira soprattutto provider di telecomunicazioni. ASD ha rilevato che le infezioni da BADCANDY sono continuate anche nel 2024 e nel 2025, con circa 400 dispositivi compromessi in Australia da luglio 2025, di cui 150 solo nel mese di ottobre.

BADCANDY si distingue per la sua capacità di eludere il rilevamento: dopo la compromissione, spesso viene applicata una patch non persistente che maschera la reale vulnerabilità del dispositivo. Nonostante il malware non sopravviva a un riavvio del sistema, se il dispositivo resta non aggiornato ed esposto a Internet, gli attaccanti possono facilmente reinfettarlo. ASD ha confermato che i cybercriminali monitorano attivamente la presenza dell’impianto e sono in grado di reinfettare rapidamente i dispositivi già “ripuliti”. Questo ciclo si ripete anche dopo che le organizzazioni interessate sono state avvisate delle infezioni.

Raccomandazioni operative e mitigazione

Il semplice riavvio del dispositivo non basta a neutralizzare l'attacco, poiché altre azioni malevole possono persistere. È quindi fondamentale applicare tempestivamente le patch di sicurezza, limitare l'esposizione pubblica dell'interfaccia web e seguire le linee guida di hardening fornite da Cisco. Tra le raccomandazioni operative, ASD suggerisce di:

• Esaminare la configurazione in esecuzione per individuare e rimuovere account sospetti con privilegi amministrativi, soprattutto quelli con nomi come "cisco_tac_admin", "cisco_support", "cisco_sys_manager" o stringhe casuali.
• Verificare la presenza di tunnel non autorizzati.
• Controllare i registri delle modifiche alla configurazione.

L'attenzione sulla vulnerabilità Cisco IOS XE e sul malware BADCANDY dimostra quanto sia essenziale una gestione proattiva delle patch e un monitoraggio costante della configurazione dei dispositivi di rete per prevenire infezioni ripetute e compromettere la sicurezza delle infrastrutture critiche.