出典: The Hacker News – https://thehackernews.com/2025/11/asd-warns-of-ongoing-badcandy-attacks.html
原題: ASD Warns of Ongoing BADCANDY Attacks Exploiting Cisco IOS XE Vulnerability
ASDが警告:Cisco IOS XEの脆弱性を狙うBADCANDY攻撃の継続
オーストラリア信号局(ASD)は、Ciscoのネットワーク機器であるIOS XEに存在する重大な脆弱性を悪用したサイバー攻撃が継続していることを警告しました。特に「BADCANDY」と呼ばれる新たなマルウェアインプラントが確認されており、未パッチのデバイスが標的となっています。
主要なポイント
- 脆弱性CVE-2023-20198の悪用:この脆弱性はリモートかつ認証なしで特権アカウントを作成できるもので、CVSSスコアは最大の10.0と評価されています。
- BADCANDYインプラントの特徴:Lua言語で作られた軽量なウェブシェルで、攻撃者は侵害後に非永続的なパッチを適用し、脆弱性の存在を隠蔽します。
- 攻撃の継続と感染状況:2023年10月以降に変種が検出され、2025年10月時点で約150台、累計約400台のデバイス感染が推定されています。
- 永続化の欠如と再感染リスク:システム再起動でマルウェアは消えますが、未パッチのまま接続されていると再度攻撃を受ける恐れがあります。
- ASDの推奨対策:パッチ適用、不要な特権アカウントの削除、設定変更ログの確認、ウェブUIの公開範囲制限などが挙げられています。
技術的な詳細や背景情報
CVE-2023-20198はCisco IOS XEの認証機構に深刻な欠陥をもたらす脆弱性で、攻撃者はリモートから認証なしに特権レベル15(最高権限)のアカウントを作成可能です。これにより、ネットワーク機器の完全な制御権を奪取できます。
BADCANDYはLuaスクリプトで実装されたウェブシェルで、侵害後に脆弱性の痕跡を隠すために非永続的なパッチを適用します。永続化機能は持たず、再起動で消失しますが、攻撃者は繰り返し再感染を試みています。
攻撃者として特に注目されているのは、中国に関連する脅威グループ「Salt Typhoon」で、通信事業者への侵入にこの脆弱性を活用していることが確認されています。
影響や重要性
Cisco IOS XEは多くの通信事業者や企業ネットワークで利用されているため、この脆弱性の悪用は広範囲にわたるネットワークの安全性を脅かします。特に特権アカウントの不正作成は、機密情報の漏洩やネットワーク全体の乗っ取りにつながる重大なリスクです。
また、攻撃者が侵害痕跡を隠蔽しつつ再感染を繰り返すことで、検知や対応が困難になるため、早急なパッチ適用と継続的な監視が不可欠です。
まとめ
ASDの警告は、Cisco IOS XEのCVE-2023-20198脆弱性を悪用したBADCANDY攻撃が今後も継続する可能性を示しています。システム管理者は速やかにパッチを適用し、不要な特権アカウントの削除やログ監視など多層的な防御策を講じる必要があります。再起動だけでは根本的な解決にならないため、Ciscoのセキュリティガイドラインに従い、ネットワーク機器の安全性を確保しましょう。
