(https://i.imgur.com/oD3KPnC.jpeg)
El gobierno australiano ha emitido una advertencia urgente sobre una serie de ataques cibernéticos en curso dirigidos a dispositivos Cisco IOS XE sin parches, que están siendo comprometidos mediante la instalación del webshell BadCandy. Esta amenaza aprovecha una vulnerabilidad crítica identificada como CVE-2023-20198, la cual permite a los actores de amenazas remotos no autenticados obtener acceso total a los dispositivos afectados y tomar el control de su configuración.
El incidente pone de manifiesto la importancia de mantener los sistemas Cisco actualizados y de aplicar las recomendaciones de seguridad publicadas por el proveedor, especialmente ante vulnerabilidades con explotación activa y pública.
CVE-2023-20198: una falla crítica aún explotada en 2025La vulnerabilidad CVE-2023-20198 fue corregida por Cisco en octubre de 2023, después de confirmarse que estaba siendo explotada activamente. Esta falla, catalogada con el máximo nivel de severidad, permite a los atacantes crear cuentas de administrador local a través de la interfaz web del sistema y asumir el control completo de los dispositivos afectados.
Apenas dos semanas después del lanzamiento del parche, surgió un exploit público, lo que impulsó una ola de ataques masivos contra routers expuestos a Internet. Desde entonces, numerosos dispositivos Cisco IOS XE han sido comprometidos mediante la instalación de puertas traseras (backdoors), siendo el webshell BadCandy el método más empleado por los ciberdelincuentes.
BadCandy: el webshell que otorga control total a los atacantesEl webshell BadCandy, desarrollado en Lua, permite a los atacantes ejecutar comandos con privilegios de root en dispositivos comprometidos. Esta herramienta proporciona control remoto completo sobre el router y facilita acciones como el espionaje del tráfico de red, el robo de credenciales y la manipulación de configuraciones internas.
Aunque BadCandy se elimina automáticamente al reiniciar el dispositivo, el riesgo persiste: si el router no está parcheado y la interfaz web sigue accesible, los atacantes pueden reinstalar fácilmente el webshell en cuestión de minutos.
Según la Dirección de Señales de Australia (ASD), la situación sigue siendo preocupante:
Citar"Desde julio de 2025, ASD evalúa que más de 400 dispositivos fueron potencialmente comprometidos con BadCandy en Australia. A finales de octubre de 2025, más de 150 equipos aún permanecían infectados."
Si bien las cifras muestran una disminución de infecciones, la reexplotación de la falla sigue siendo una amenaza real, incluso después de que las organizaciones afectadas recibieran las alertas correspondientes.
Reexplotación constante y ataques patrocinados por el EstadoLos expertos australianos han detectado que los atacantes monitorizan activamente los routers vulnerables, detectando cuándo se elimina el implante BadCandy para reintroducirlo inmediatamente. Este patrón sugiere una operación sostenida, coordinada y con recursos avanzados.
La ASD señaló además que esta vulnerabilidad ha sido aprovechada previamente por grupos de amenazas patrocinados por el Estado, como el "Tifón de Sal" (Salt Typhoon), un colectivo vinculado a China y responsable de ataques contra grandes proveedores de telecomunicaciones en Estados Unidos y Canadá.
Aunque BadCandy puede ser utilizado por cualquier actor malicioso, los picos recientes de actividad sugieren la participación de ciberoperadores respaldados por gobiernos, interesados en mantener acceso persistente a infraestructuras críticas de red.
Medidas de mitigación y respuesta recomendadasAnte la gravedad de la situación, la Dirección de Señales de Australia ha comenzado a enviar notificaciones personalizadas a las víctimas confirmadas. Estas incluyen instrucciones detalladas sobre cómo aplicar los parches de seguridad de Cisco, endurecer la configuración del dispositivo y realizar un análisis forense para detectar compromisos previos.
En los casos donde no se puede identificar al propietario de un dispositivo comprometido, la ASD está trabajando con proveedores de servicios de Internet (ISP) para contactar a las víctimas en su nombre, con el fin de reducir la superficie de ataque y evitar la propagación de la amenaza.
Por su parte, Cisco ha publicado una guía de endurecimiento de seguridad para dispositivos IOS XE, donde se describen los pasos necesarios para:
- Actualizar a la versión más reciente del sistema operativo.
- Deshabilitar la interfaz web de administración si no es necesaria.
- Implementar listas de control de acceso (ACLs) para limitar el tráfico entrante.
- Supervisar registros y conexiones sospechosas en busca de indicadores de compromiso (IoCs).
Impacto global y relevancia para la ciberseguridad empresarialAunque la alerta se ha originado en Australia, la vulnerabilidad CVE-2023-20198 afecta a empresas y entidades gubernamentales a nivel mundial. Miles de dispositivos Cisco IOS XE continúan expuestos a Internet sin los parches adecuados, lo que abre la puerta a ataques remotos, espionaje corporativo y sabotaje de redes críticas.
La amenaza BadCandy es un recordatorio contundente de que los ciberdelincuentes y actores estatales siguen explotando fallas antiguas para mantener el acceso a infraestructuras esenciales. La falta de actualización, la exposición de servicios web y la ausencia de monitoreo continuo siguen siendo las principales causas de compromisos en routers empresariales.
Las organizaciones deben considerar la implementación de una estrategia integral de ciberseguridad, que incluya parches regulares, segmentación de red, autenticación multifactor y supervisión constante de vulnerabilidades conocidas.
En fin...El caso BadCandy subraya la urgencia de aplicar parches de seguridad de manera inmediata y de fortalecer la postura defensiva de las redes corporativas.
La explotación activa de la CVE-2023-20198 demuestra que incluso las vulnerabilidades conocidas pueden tener impactos prolongados cuando no se mitigan adecuadamente.
Con la colaboración de las agencias de ciberseguridad y la aplicación de las recomendaciones de Cisco, las organizaciones pueden prevenir la reinfección y detener la expansión de BadCandy, protegiendo así su infraestructura crítica de futuras intrusiones.
Fuente:https://www.bleepingcomputer.com/