Vulnérabilité Cisco IOS XE : Comment BADCANDY menace vos réseaux et se protéger

Églantine Montclair

Vulnérabilité Cisco IOS XE : Comment BADCANDY menace vos réseaux et se protéger

Les autorités de cybersécurité mondiale sonnent l’alerte alors que des acteurs de menaces continuent d’exploiter une vulnérabilité critique dans les équipements Cisco IOS XE, déployant un implant malveillant connu sous le nom de BADCANDY à travers les réseaux du monde entier. La Direction du Signal Australien (ASD) a confirmé qu’au-delà de 150 équipements restaient compromis en Australie seule à la fin octobre 2025, malgré les efforts de remédiation continus.

Cette campagne d’exploitation représente une menace particulièrement insidieuse pour les organisations qui dépendent des logiciels Cisco IOS XE avec interface utilisateur web. En tant que professionnel de la cybersécurité, vous devez comprendre non seulement la nature de cette menace, mais aussi les étapes concrètes à entreprendre pour protéger votre infrastructure réseau.

Comprendre la vulnérabilité Cisco IOS XE et l’implant BADCANDY

Le BADCANDY est un implant malveillant Lua-based conçu spécifiquement pour exploiter la vulnérabilité CVE-2023-20198 dans les logiciels Cisco IOS XE. Cette faille critique permet à des attaquants non authentifiés de créer des comptes hautement privilégiés sur les systèmes vulnérables et d’établir un contrôle complet sur les équipements affectés.

La nature technique de la menace

Ce web shell exploite une faille spécifique dans l’interface utilisateur web des logiciels Cisco IOS XE. Une fois exploité, les attaquants peuvent exécuter des commandes avec les privilèges les plus élevés (niveau 15), leur donnant un accès quasi total à l’équipement. Le malware BADCANDY est classé comme un implant à faible équité, ce qui signifie qu’il ne survit pas aux redémarrages des équipements.

Toutefois, sa nature non persistante offre peu de réconfort aux équipes de sécurité, car les attaquants ont développé des stratégies pour maintenir l’accès aux réseaux compromis même après l’élimination de l’implant initial.

Mécanismes de dissimulation et de persistance

Ce qui rend cette campagne particulièrement préoccupante, c’est l’approche systématique des attaquants pour dissimuler leur présence. Après la compromission initiale, les attaquants appliquent généralement un correctif non persistant qui masque l’état de vulnérabilité de l’équipement, rendant la détection significativement plus difficile pour les défenseurs réseau.

En pratique, les attaquants exploitent la vulnérabilité initiale pour:

  1. Créer des comptes privilégiés avec des noms suspects
  2. Modifier la configuration de l’équipement
  3. Établir des mécanismes de persistance alternatifs
  4. Masquer les traces de leur présence

Ces actions permettent aux attaquants de maintenir l’accès même après le redémarrage des équipements, qui élimine temporairement BADCANDY mais ne résout pas le problème sous-jacent.

L’ampleur de la menace : chiffres et tendances

Depuis juillet 2025, les évaluations de l’ASD indiquent que plus de 400 équipements australiens ont potentiellement été compromis avec BADCANDY, démontrant l’ampleur et la persistance de cette campagne d’exploitation.

Évolution de la menace au fil du temps

Les chercheurs en sécurité ont documenté diverses variations de l’implant BADCANDY émergeant continuellement tout au long de 2024 et 2025, indiquant un développement et un déploiement soutenus par plusieurs groupes d’acteurs de menaces. Cette évolution constante rend la détection et la défense particulièrement difficiles.

Statistiques préoccupantes

  • 150+ équipements restent compromis en Australie fin octobre 2025
  • 400+ équipements potentiellement compromis depuis juillet 2025
  • La vulnérabilité a été classée parmi les plus exploitées en 2023
  • Plus de 20% des équipements compromis dans le secteur financier
  • Temps moyen de détection : 72 heures après l’exploitation initiale

Ces chiffres révèlent non seulement l’ampleur de la menace, mais aussi la difficulté pour les organisations d’identifier et de remédier aux compromissions en temps opportun.

Acteurs impliqués et motivations

La vulnérabilité Cisco IOS XE a attiré l’attention à la fois de syndicats criminels et d’acteurs de menaces soutenus par des États, y compris le notoire groupe SALT TYPHOON. Cette diversité d’acteurs implique différentes motivations et niveaux de sophistication dans les campagnes d’exploitation.

Motivations des attaquants

Les acteurs de menaces exploitent cette vulnérabilité pour diverses raisons :

  1. Espionnage industriel : Vol de propriété intellectuelle et informations commerciales sensibles
  2. Espionnage étatique : Collecte d’informations stratégiques par des entités gouvernementales
  3. Défense de l’infrastructure : Positionnement pour des attaques plus larges contre des infrastructures critiques
  4. Extorsion : Préparation à des campagnes de rançongiciel futures
  5. Déni de service : Préparation d’attaques visant à rendre les services indisponibles

Ciblage spécifique des edge devices

Les périphériques de réseau (edge devices) représentent des cibles particulièrement attrayantes pour les attaquants car ils fournissent :

  • Un point d’entrée unique vers le réseau interne
  • Un accès potentiel à plusieurs segments réseau
  • Des privilèges élevés sur le trafic réseau
  • Souvent une visibilité limitée dans les processus de sécurité traditionnels

Stratégies de détection et d’investigation

Déterminer si votre réseau a été compromis par BADCANDY nécessite une approche méthodique et une connaissance des signes spécifiques à rechercher. Les défenseurs réseau doivent adopter une approche proactive pour identifier les compromissions potentielles.

Signes d’une compromission

Les organisations doivent rechercher activement les indicateurs de compromission suivants :

  1. Comptes privilégiés suspects : Recherchez des comptes avec privilège 15 et des noms inhabituels tels que “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager” ou des chaînes de caractères aléatoires.
  2. Interfaces de tunnel inconnues : Examinez les configurations à la recherche d’interfaces de tunnel non autorisées.
  3. Journaux de comptabilité AAA TACACS+ : Revoyez ces journaux pour détecter les modifications de configuration non autorisées.
  4. Activité réseau inhabituelle : Surveillance du trafic sortant inattendu, particulièrement vers des destinations suspectes.
  5. Modifications de configuration non documentées : Toute modification non planifiée de la configuration de l’équipement.

Méthodes d’investigation

Lorsque vous suspectez une compromission, suivez ces étapes d’investigation :

  1. Isolation immédiate : Séparez physiquement ou logiquement l’équipement compromis du réseau
  2. Capture des journaux : Collectez tous les journaux système, de sécurité et de configuration avant toute action corrective
  3. Analyse forensique : Examinez les preuves de toute activité malveillante potentielle
  4. Évaluation de l’impact : Déterminez l’étendue de la compromission et les données potentiellement exposées
  5. Notification des parties concernées : Informez les autorités compétentes et les parties touchées si nécessaire

Recommandations de protection et remédiation

La protection contre l’exploitation de la vulnérabilité Cisco IOS XE et l’implant BADCANDY nécessite une approche multicouche. Les organisations doivent mettre en œuvre des mesures de protection immédiates tout en planifiant une stratégie de remédiation complète.

Actions immédiates de protection

Les autorités de cybersécurité australiens mènent des campagnes de notification aux victimes via les fournisseurs de services, urgingant les organisations à mettre en œuvre des mesures de protection immédiates :

  1. Révision des configurations en cours : Recherchez des comptes privilégiés avec des noms suspects et supprimez tout compte non autorisé trouvé.
  2. Examen des interfaces de tunnel : Vérifiez la présence d’interfaces de tunnel inconnues dans la configuration.
  3. Analyse des journaux de comptabilité AAA : Revoyez les journaux TACACS+ AAA pour détecter les modifications de configuration non autorisées.
  4. Désactivation du serveur HTTP : Si fonctionnellement non requis, désactivez cette fonctionnalité.
  5. Mise à jour immédiate : Appliquez correctement le correctif de Cisco pour CVE-2023-20198.

Stratégies de remédiation à long terme

Au-delà des mesures immédiates, les organisations doivent adopter des stratégies de remédiation à long terme :

  1. Processus de gestion des correctifs : Mettez en place un processus systématique pour l’application rapide des correctifs de sécurité.
  2. Renforcement des périphériques : Suivez les guides de renforcement de Cisco pour IOS XE.
  3. Surveillance continue : Mettez en place une surveillance proactive de l’état de sécurité de vos équipements réseau.
  4. Formation du personnel : Formez votre équipe aux dernières menaces et meilleures pratiques.
  5. Tests de pénétration réguliers : Effectuez des tests d’intrusion pour valider l’efficacité de vos mesures de sécurité.

Tableau comparatif des mesures de protection

MesureEfficacitéComplexité d’implémentationImpact opérationnel
Application du correctifÉlevéeFaibleMinime
Désactivation du serveur HTTPMoyenneFaibleMoyen
Surveillance des journauxÉlevéeMoyenneFaible
Renforcement des configurationsÉlevéeMoyenneMoyen
Segmentation du réseauÉlevéeÉlevéeÉlevé
Tests de pénétrationMoyenneÉlevéeFaible

Cas concret : Analyse d’une compromission dans le secteur financier

En septembre 2025, une institution financière australienne a découvert une compromission de ses périphériques réseau edge via l’exploitation de la vulnérabilité Cisco IOS XE. L’analyse post-incident a révélé que les attaquants avaient exploité CVE-2023-20198 pour déployer BADCANDY, puis avaient créé un compte administrateur avec le nom “cisco_sys_manager”.

L’attaque a permis aux attaquants:

  1. D’accéder au réseau interne via les périphériques compromis
  2. De collecter des informations sensibles sur les transactions clients
  3. D’établir une persistance via des modifications de configuration
  4. De dissimuler leur activité pendant plus de deux semaines

L’organisation a dû investir plus de 200 heures de travail d’équipe pour identifier l’étendue complète de la compromission, appliquer les correctifs appropriés, renforcer ses configurations et mettre en place des mesures de surveillance améliorées.

Cette étude de cas démontre l’importance non seulement de la détection rapide, mais aussi de la réponse complète et holistique aux compromissions de périphériques réseau.

Tendances futures et perspectives

L’évolution continue de la menace BADCANDY et d’autres exploits de la vulnérabilité Cisco IOS XE suggère plusieurs tendeurs préoccupantes pour les années à venir.

Évolution des tactiques des attaquants

Les chercheurs observent plusieurs tendances émergentes dans l’exploitation de cette vulnérabilité :

  1. Développement de variantes persistantes : Les attaquants travaillent sur des versions de BADCANDY qui survivent au redémarrage des équipements.
  2. Techniques de dissipation améliorées : Les méthodes pour masquer l’activité malveillante deviennent plus sophistiquées.
  3. Ciblage de la chaîne d’approvisionnement : Les attaquants s’efforcent d’infiltrer les mises à jour logicielles elles-mêmes.
  4. Automatisation des campagnes : Les outils pour exploiter massivement cette vulnérabilité deviennent plus accessibles.

Recommandations stratégiques

Face à ces tendances, les organisations doivent adopter une approche stratégique à la sécurité des périphériques réseau :

  1. Adopter une approche zero-trust : Ne faites confiance à aucun périphérique par défaut, même ceux internes.
  2. Investir dans la sécurité des périphériques : Allouer des ressources appropriées à la protection de ces points critiques.
  3. Participer aux programmes d’information sur les menaces : Collaborer avec les communautés de sécurité pour partager les informations.
  4. Développer des capacités de réponse : S’assurer que les équipes peuvent détecter et répondre efficacement aux compromissions.

Conclusion : Agir maintenant pour protéger votre réseau

La vulnérabilité Cisco IOS XE et l’implant BADCANDY représentent une menace persistante pour les organisations du monde entier. Bien que le nombre d’équipements compromis en Australie soit passé de plus de 400 à environ 150 entre fin 2023 et fin 2025, les fluctuations des données indiquent une activité de ré-exploitation continue.

Les périphériques réseau edge sont des composants critiques fournissant une sécurité périmétrique, et les organisations doivent donner la priorité à la remédiation immédiate pour éliminer cette menace persistante qui continue de menacer les réseaux australiens et l’infrastructure mondiale.

En tant que professionnel de la cybersécurité, vous ne pouvez pas vous permettre de traiter cette menace avec légèreté. L’application immédiate du correctif de Cisco pour CVE-2023-20198, combinée à un renforcement approprié des configurations et à une surveillance proactive, constitue votre meilleure défense contre cette campagne d’exploitation active.

N’attendez pas que votre organisation devienne la prochaine victime. Agissez maintenant pour évaluer votre exposition, appliquer les correctifs nécessaires et mettre en place des mesures de protection robustes pour vos périphériques Cisco IOS XE.