ASD alerta sobre ataques BADCANDY que explotan CVE-2023-20198 en dispositivos Cisco IOS XE

Resumen del aviso

La Australian Signals Directorate (ASD) ha publicado un boletín advirtiendo sobre ataques en curso contra dispositivos Cisco que ejecutan IOS XE. La actividad detectada implica el uso de un implante previamente no documentado denominado BADCANDY y la explotación de la vulnerabilidad CVE-2023-20198, catalogada con una puntuación CVSS de 10.0. Según el comunicado, los objetivos principales son dispositivos no parcheados en Australia.

ASD describe BADCANDY como un implante activo en campañas que explotan la vulnerabilidad CVE-2023-20198 en dispositivos Cisco IOS XE. La agencia subraya la necesidad de aplicar parches y medidas de mitigación para reducir el riesgo.

Contexto y por qué importa

Los dispositivos que ejecutan sistemas operativos de red como Cisco IOS XE (utilizado en muchos routers, switches de gama empresarial y plataformas de borde) son infraestructuras críticas para la continuidad y seguridad de redes corporativas y gubernamentales. Una vulnerabilidad calificada con CVSS 10.0 indica un fallo crítico cuyo alcance típico permite a un atacante, sin autenticación, comprometer la confidencialidad, integridad y disponibilidad del dispositivo afectado.

• Los routers y switches son vectores atractivos: controlar un dispositivo de red puede permitir interceptación de tráfico, reinicio de servicios, movimiento lateral y establecimiento de persistencia en la red.
• Los implantes en firmware o en el sistema operativo de red (como el reportado BADCANDY) suelen diseñarse para mantener acceso y evadir detección durante periodos prolongados.
• En entornos operativos críticos (cadenas de suministro, proveedores de servicios, organismos públicos), la explotación de un solo dispositivo de borde puede tener efectos desproporcionados.

Análisis técnico y comentarios para profesionales

Para equipos de seguridad y administradores de red, la combinación de una vulnerabilidad crítica sin parche y un implante nuevo exige una respuesta coordinada entre operaciones, seguridad y proveedores. A continuación, se señalan observaciones y recomendaciones prácticas desde una perspectiva técnica y operativa:

• Prioridad de parcheado: validar inmediatamente el inventario de dispositivos Cisco IOS XE expuestos y priorizar la aplicación de las actualizaciones publicadas por Cisco que mitiguen CVE-2023-20198. Donde no sea posible aplicar el parche de inmediato, implementar mitigaciones compensatorias.
• Segmentación y control de acceso: restringir el acceso a management plane (SSH, HTTPS, NETCONF, gNMI) mediante listas de control de acceso (ACL), VLANs de gestión y acceso desde direcciones IP conocidas. Habilitar jump hosts y soluciones bastión con autenticación fuerte para cualquier acceso remoto.
• Detección y respuesta: instrumentar capacidades de detección en la capa de red (NDR) y de endpoints dedicados a infraestructura de red. Monitorizar cambios en la configuración, procesos nuevos en el plano de control y cualquier comunicación saliente inusual desde dispositivos de red.
• Integridad y auditoría: comprobar la integridad de las imágenes de IOS XE y comparar versiones con checksums oficiales; revisar registros de configuración y cambios recientes. Mantener backups de configuraciones conocidas y procedimientos de recuperación ante compromiso.
• Contención ante compromiso: si se identifica un dispositivo comprometido, aislarlo de la red de producción, capturar volcado de memoria y tráfico para análisis forense y, en la medida de lo posible, reemplazar la imagen del sistema o realizar un reprovisionamiento completo desde una imagen de confianza.

Casos comparables y tendencias relevantes

Si bien BADCANDY se describe como «previamente no documentado», la modalidad de explotación es coherente con una tendencia más amplia: atacantes han explotado en el pasado vulnerabilidades críticas en dispositivos de red para desplegar puertas traseras, interceptar tráfico y establecer infraestructura persistente. Algunas observaciones generales y lecciones aprendidas de incidentes previos aplicables aquí son:

• Las vulnerabilidades de dispositivos de red son objetivo prioritario para actores tanto criminales como estatales por su impacto potencial y el escaso parches inmediatos en infraestructuras críticas.
• La explotación masiva suele ocurrir rápidamente tras la publicación de la vulnerabilidad o de pruebas de concepto; por ello, las organizaciones que tardan en parchear se exponen a campañas automatizadas.
• Históricamente, incidentes que empezaron por un dispositivo de borde han escalado a compromisos en mayor escala dentro de redes empresariales cuando las defensas internas no segmentan debidamente el tráfico y los privilegios.

Riesgos, implicaciones y recomendaciones accionables

Riesgos e implicaciones:

• Compromiso de integridad de la red: un implante en IOS XE puede permitir manipulación de rutas, interceptación de comunicaciones y pérdida de confidencialidad.
• Persistencia y movimiento lateral: acceso inicial a dispositivos de red puede servir como trampolín para atacar sistemas internos y exfiltrar datos sensibles.
• Impacto operativo: reinicios forzados, degradación del rendimiento o pérdida de servicios críticos que afecten operaciones comerciales o servicios al público.

Recomendaciones específicas (priorizadas):

• Inventario y priorización: identificar todos los dispositivos que ejecutan Cisco IOS XE y priorizar según exponibilidad (perímetro público, accesibilidad por Internet, funciones críticas).
• Aplicar parches oficiales: seguir las guías y parches publicados por Cisco para CVE-2023-20198. Planificar ventanas de mantenimiento y pruebas en entornos de laboratorio si es necesario.
• Mitigaciones temporales: si el parche no puede aplicarse de inmediato, bloquear puertos de gestión desde Internet, aplicar ACLs restrictivas, y utilizar listas blancas de IP para accesos de administración.
• Monitorización y búsqueda proactiva: revisar logs de administración, autenticaciones fallidas, cambios de configuración no autorizados y patrones de tráfico inusuales; desplegar firmas de IDS/IPS y reglas de NDR que detecten comportamientos asociados a implantes de red.
• Preparación ante incidentes: disponer de procedimientos para aislar y reemplazar dispositivos comprometidos, retener evidencias para análisis forense y coordinar notificaciones internas/externas según la normativa aplicable.
• Comunicarse con proveedores: mantener comunicación con Cisco y con proveedores de servicios gestionados para recibir actualizaciones, IOCs y asistencia técnica especializada.

Consideraciones para responsables de riesgo y gestión

Los equipos de gobernanza y riesgo deben tratar este tipo de avisos como incidentes de alto impacto potencial. Las recomendaciones incluyen:

• Evaluar el riesgo residual para operaciones críticas y servicios al cliente si no se aplica un parche de forma inminente.
• Coordinar recursos entre TI, operaciones y seguridad para acelerar pruebas y despliegue de mitigaciones.
• Revisar contratos con proveedores y operadores de red para asegurar SLAs de soporte que permitan respuesta rápida ante compromisos de infraestructura.
• Comunicar a la dirección y, si procede, a reguladores, clientes y socios según obligaciones legales y de sector.

Conclusión

La alerta de la ASD sobre ataques que emplean el implante BADCANDY y explotan CVE-2023-20198 subraya la persistente amenaza que representan las vulnerabilidades críticas en equipos de red. Las organizaciones deben actuar con prioridad: identificar inventario, aplicar parches y contenciones, reforzar controles de acceso a la gestión de red y activar capacidades de detección y respuesta. La combinación de parches, segmentación, monitorización y preparación ante incidentes reduce significativamente la probabilidad y el impacto de un compromiso exitoso.

Source: thehackernews.com