Warnung vor BADCANDY: Risiken für Cisco IOS XE

Cyberkriminelle nutzen eine Sicherheitslücke in Cisco IOS XE aktiv aus, um ein Implantat namens „BADCANDY“ zu installieren.

Auf verwundbaren Cisco-IOS-XE-Geräten, die unter CVE-2023-20198 fallen, haben Angreifer seit Oktober 2023 Varianten des BADCANDY-Implantats entdeckt; 2024 und 2025 wurde eine erneute Aktivität registriert. BADCANDY ist eine auf Lua basierende Web-Shell mit geringer Komplexität. Nach einer Kompromittierung wenden Angreifer häufig einen nicht-persistenten Patch an, um den anfälligen Zustand des Geräts gegenüber CVE-2023-20198 zu verschleiern. Das Vorhandensein des BADCANDY-Implantats deutet in solchen Fällen auf eine Ausnutzung genau dieser Schwachstelle hin.

Das Implantat bleibt nicht nach einem Neustart des Geräts bestehen. Haben Angreifer jedoch Zugang zu Kontodaten oder andere Persistenzmechanismen erlangt, können sie weiterhin Zugriff auf das Gerät oder das Netzwerk behalten. Zur Verhinderung weiterer Ausnutzungen muss der Patch für CVE-2023-20198 eingespielt werden. Außerdem sollte der Zugriff auf die Web-Benutzeroberfläche, falls aktiviert, eingeschränkt werden (siehe Abschnitt „Allgemeine Absicherung“).

Die australische Sicherheitsbehörde ASD schätzt, dass im Juli 2025 in Australien mehr als 400 Geräte potenziell mit BADCANDY kompromittiert waren. Ende Oktober 2025 waren dort nach Angaben der ASD noch über 150 Geräte betroffen.

CVE-2023-20198 betrifft die Web-Benutzeroberfläche (UI) der Cisco IOS XE-Software. Durch Ausnutzung kann ein nicht authentifizierter Angreifer aus der Ferne ein Konto mit hohen Rechten auf einem verwundbaren System anlegen und so die Kontrolle übernehmen. Diese Schwachstelle wurde unter anderem von Akteuren wie SALT TYPHOON ausgenutzt und gehörte 2023 zu den am häufigsten ausgenutzten Schwachstellen. Die ASD berichtet, dass die Ausnutzung weiterhin anhält.

Akteure und Zuordnung

Die Australian Signals Directorate (ASD) geht davon aus, dass das BADCANDY-Implantat von verschiedenen Tätergruppen eingesetzt werden kann, erwartet jedoch vornehmlich den Einsatz durch kriminelle und staatlich unterstützte Akteure. Ungepatchte, weiter ans Internet angeschlossene Geräte werden wiederholt angegriffen — ein anhaltendes Risiko für Netzwerke in Australien.

Reaktion der ASD

Konnte die ASD den Betreiber eines kompromittierten Systems nicht direkt ermitteln, informierte sie die betroffenen Unternehmen über deren Dienstanbieter. Die Mitteilungen enthalten Anweisungen zum Aufspielen des Patches, zum Neustart des Geräts, zur Härtung der Systeme sowie zu erforderlichen Schritten der Vorfallreaktion. Die ASD wird diese Benachrichtigungen fortlaufend verschicken, um Systembetreiber über mögliche Kompromittierungen zu unterrichten.

Handlungsempfehlungen für Organisationen

Die ASD rät Systembetreibern zu folgenden Maßnahmen, um ein vorhandenes BADCANDY-Implantat zu entfernen und erneute Ausnutzungen zu verhindern. Diese Schritte schützen einzelne Organisationen und tragen dazu bei, die Gesamtzahl der kompromittierten Geräte in Australien zu verringern:

Prüfen Sie die laufende Konfiguration auf Benutzerkonten mit Berechtigungsstufe 15 und entfernen Sie unbekannte oder nicht genehmigte Konten.
Achten Sie besonders auf Accounts mit zufällig erscheinenden Zeichenfolgen oder auf Konten wie „cisco_tac_admin“, „cisco_support“, „cisco_sys_manager“ oder „cisco“ und löschen Sie diese, falls sie nicht legitim sind.
Suchen Sie in der laufenden Konfiguration nach unbekannten Tunnelschnittstellen (als „interface tunnel[Nummer]“ mit zugehöriger IP, Tunnelquelle und -ziel sichtbar).
Sofern TACACS+ aktiviert ist, prüfen Sie die AAA-Befehlsprotokollierung auf unautorisierte Konfigurationsänderungen bei betroffenen Geräten.

Patchen der Schwachstelle (CVE-2023-20198)

Organisationen, die die Web-UI von Cisco IOS XE nutzen, sollten dringend den verfügbaren Patch einspielen und den Empfehlungen der Cisco-Sicherheitshinweise „Mehrere Schwachstellen in der Web-UI-Funktion der Cisco IOS XE-Software“ folgen. Cisco hat Hinweise auf aktive Ausnutzung veröffentlicht und Indikatoren bereitgestellt, die bei der Untersuchung verdächtiger Aktivitäten helfen.

Neustart entfernt Implantat — aber nicht die Ursache

Weil BADCANDY nicht persistent ist, wird das Implantat durch einen Neustart gelöscht. Ein Neustart beseitigt jedoch nicht automatisch weitere Aktionen des Angreifers und schließt auch nicht die ursprünglich ausgenutzte Sicherheitslücke. Deshalb ist eine anschließende Prüfung der laufenden Konfiguration auf unübliche Änderungen unerlässlich.

Bild/Quelle: https://depositphotos.com/de/home.html