AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Alertan de ciberataques activos en Australia contra routers Cisco IOS XE vulnerables mediante la webshell BadCandy**

admin

### 1. Introducción

Las autoridades australianas han emitido una alerta ante la detección de una nueva campaña de ciberataques dirigida a routers Cisco IOS XE sin parchear. El objetivo de los atacantes es la implantación de la webshell BadCandy, una amenaza que ya ha mostrado su capacidad de comprometer infraestructuras críticas y redes empresariales a escala global. Este artículo analiza en profundidad el incidente, sus implicaciones técnicas y estratégicas, y ofrece recomendaciones actualizadas para los equipos de ciberseguridad.

### 2. Contexto del Incidente

El Centro Australiano de Ciberseguridad (ACSC) ha advertido a organizaciones públicas y privadas sobre un incremento significativo de ataques explotando vulnerabilidades conocidas en dispositivos Cisco IOS XE. Los atacantes están aprovechando routers expuestos a Internet y sin las actualizaciones de seguridad pertinentes para desplegar BadCandy, una webshell que permite el control remoto persistente y facilita posteriores movimientos laterales o la exfiltración de datos.

Este tipo de campañas recuerda a incidentes previos detectados desde finales de 2023, cuando se identificó por primera vez la explotación masiva de routers Cisco con fines de acceso inicial y persistencia en redes corporativas, en ocasiones como fase previa a ataques más complejos como ransomware o espionaje.

### 3. Detalles Técnicos

**Vulnerabilidades implicadas y CVE**
El vector de ataque principal es la explotación de la vulnerabilidad CVE-2023-20198, una falla crítica (CVSS 10.0) que permite la ejecución remota de comandos sin autenticación en Cisco IOS XE, afectando tanto a dispositivos físicos como virtuales (incluidos routers y switches gestionados). La vulnerabilidad reside en el componente de gestión web (HTTP Server) de IOS XE. Se han detectado variantes de exploits publicados en repositorios públicos y módulos disponibles en frameworks como Metasploit.

**Webshell BadCandy: funcionamiento y persistencia**
BadCandy se instala en el sistema de archivos del dispositivo, generalmente bajo rutas como `/usr/bc` o `/flash/bc`. Actúa como una puerta trasera HTTP, permitiendo al atacante ejecutar comandos arbitrarios y modificar la configuración del router. BadCandy es difícil de detectar, ya que enmascara su tráfico como tráfico legítimo de administración y persiste incluso tras reinicios o actualizaciones menores.

**TTP según MITRE ATT&CK**
– TA0001: Initial Access (Explotación de vulnerabilidad de red pública)
– TA0002: Execution (Ejecución de comandos remotos)
– TA0003: Persistence (Instalación de webshell y modificación de configuración)
– TA0005: Defense Evasion (Ofuscación y uso de rutas inusuales)
– TA0011: Command and Control (Canales C2 a través de webshell HTTP/S)

**Indicadores de Compromiso (IoC)**
– Presencia de archivos inusuales (`bc`, `badcandy`, `webshell.php`)
– Tráfico HTTP/S anómalo en el puerto de administración web (por defecto 443 o 80)
– Procesos desconocidos ejecutándose en el sistema operativo subyacente

### 4. Impacto y Riesgos

La explotación de CVE-2023-20198 y la implantación de BadCandy permite a los atacantes tomar el control total del router afectado. Los riesgos incluyen:

– Intercepción y manipulación de tráfico (MITM)
– Persistencia en la red para campañas de espionaje o ransomware
– Acceso a segmentos internos de red mediante movimientos laterales
– Despliegue de cargas adicionales (malware, ransomware, rootkits)
– Incumplimiento de normativas como GDPR y NIS2, con riesgo de sanciones económicas y reputacionales

Se estima que en Australia hay más de 10.000 dispositivos Cisco IOS XE potencialmente vulnerables, con una tasa de explotación activa superior al 20% en los últimos dos meses.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata** a la última versión de Cisco IOS XE disponible, aplicando los parches de seguridad recomendados por el fabricante.
– **Deshabilitar el acceso HTTP/HTTPS** de administración desde Internet si no es estrictamente necesario. Limitar el acceso solo a direcciones IP de confianza y segmentar la red de administración.
– **Monitorización continua** de logs y tráfico de red en busca de IoCs asociados a BadCandy y otras webshells.
– **Auditoría de la configuración** y verificación de integridad del sistema de archivos en busca de ficheros sospechosos.
– **Aplicación de hardening** adicional: reforzar contraseñas, activar autenticación multifactor y reducir la superficie de ataque.
– **Plan de respuesta a incidentes**: establecer procedimientos claros para la contención y erradicación de dispositivos comprometidos.

### 6. Opinión de Expertos

Analistas de ciberamenazas y responsables de SOC consultados destacan la peligrosidad de este vector de ataque, subrayando que la exposición de equipos de red críticos con software obsoleto es una de las principales debilidades en infraestructuras modernas. «La persistencia de webshells como BadCandy en routers core supone un riesgo sistémico, pues desde ahí se puede pivotar hacia todo el entorno empresarial», advierte un CISO de una operadora australiana.

Desde Cisco, se insiste en la urgencia de aplicar parches y recomiendan revisar periódicamente la presencia de archivos no legítimos en el sistema.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, especialmente en sectores críticos y operadores de servicios esenciales, el compromiso de routers de red supone un vector de entrada privilegiado para ataques avanzados. Además, el incumplimiento de marcos regulatorios como GDPR o la inminente NIS2 puede acarrear multas significativas y pérdida de confianza de clientes.

Los usuarios domésticos y pymes también están en riesgo si utilizan routers gestionados con IOS XE expuestos a Internet. La delegación de la administración y el mantenimiento a proveedores especializados es clave para reducir la superficie vulnerable.

### 8. Conclusiones

La oleada de ataques contra dispositivos Cisco IOS XE en Australia mediante la webshell BadCandy es una llamada de atención para la gestión proactiva de vulnerabilidades en equipos de red. La combinación de exploits públicos, persistencia avanzada y dificultad de detección eleva la criticidad del incidente. Solo mediante la aplicación rigurosa de parches, la reducción de exposición y la monitorización activa podrán las organizaciones mitigar el impacto de estas amenazas.

(Fuente: www.bleepingcomputer.com)