AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nueva oleada de ciberataques en Australia explota CVE-2023-20198 para implantar BADCANDY en Cisco IOS XE

admin

#### Introducción

El panorama de amenazas dirigido a infraestructuras críticas y dispositivos de red continúa intensificándose en 2024. Recientemente, la Australian Signals Directorate (ASD) ha emitido una alerta urgente sobre una campaña activa de ciberataques que afecta a dispositivos Cisco IOS XE sin parchear, utilizando un implante no documentado previamente, denominado BADCANDY. Este incidente subraya la criticidad de mantener actualizados los dispositivos de red y la rapidez con la que los actores maliciosos explotan vulnerabilidades críticas para comprometer entornos empresariales.

#### Contexto del Incidente

El aviso de la ASD se produce tras la identificación de múltiples incidentes en organizaciones australianas, donde se ha detectado actividad maliciosa consistente con la explotación de la vulnerabilidad CVE-2023-20198. Este fallo, que afecta a numerosas versiones de Cisco IOS XE, permite a un atacante remoto y no autenticado obtener privilegios administrativos en el dispositivo comprometido. La explotación de esta vulnerabilidad ha desembocado en la instalación de implantes persistentes como BADCANDY, permitiendo a los atacantes mantener el acceso y desplegar capacidades adicionales de espionaje y control.

Cisco publicó inicialmente los detalles y parches para CVE-2023-20198 en octubre de 2023, pero la amplia base instalada y los retrasos en los procesos de actualización han dejado a miles de dispositivos expuestos a la explotación. Según datos de Shodan y Censys, más de 40.000 dispositivos a nivel global continúan siendo vulnerables a día de hoy, con un porcentaje significativo en entornos críticos gubernamentales y empresariales.

#### Detalles Técnicos

**Vulnerabilidad y vectores de ataque**

– **CVE-2023-20198**: Esta vulnerabilidad crítica (CVSS 10.0) afecta a sistemas Cisco IOS XE que tengan habilitada la interfaz HTTP(S) de administración. Permite a un atacante remoto crear cuentas privilegiadas sin necesidad de autenticación previa.
– **Cadena de ataque**: Tras la explotación inicial, el atacante obtiene acceso de nivel 15 (máximo) en el dispositivo. Seguidamente, se implementa el implante BADCANDY, que proporciona persistencia y permite la ejecución remota de comandos.

**TTPs y frameworks utilizados**

– **MITRE ATT&CK**:
– T1190 – Exploit Public-Facing Application
– T1078 – Valid Accounts
– T1059 – Command and Scripting Interpreter
– T1505 – Server Software Component: Implant deployment

– **Herramientas observadas**: Aunque no se han observado exploits públicos totalmente automatizados en Metasploit o Cobalt Strike para esta vulnerabilidad, sí existe código de prueba de concepto (PoC) disponible en repositorios de GitHub y foros de la darknet.

**Indicadores de Compromiso (IoC)**

– Archivos y procesos no estándar en el sistema de archivos de IOS XE.
– Cuentas administrativas creadas con nombres sospechosos.
– Comunicación saliente cifrada hacia dominios y direcciones IP no habituales.

#### Impacto y Riesgos

La explotación de CVE-2023-20198 y la implantación de BADCANDY permite a los atacantes:

– Desplegar comandos arbitrarios, modificar configuraciones críticas e interceptar o redirigir tráfico de red.
– Implementar ataques man-in-the-middle o pivotar hacia otros sistemas en la red interna.
– Mantener persistencia tras reinicios gracias a la sofisticación del implante.
– El riesgo es especialmente elevado en sectores sujetos a la normativa NIS2 y GDPR, dada la posibilidad de exfiltración de datos personales y afectación a servicios esenciales.

Según estimaciones de la ASD y Cisco Talos, el sector público y operadores de infraestructuras críticas son los más afectados, con potenciales impactos económicos de hasta 5 millones de euros por incidente, considerando tiempos de inactividad y costes de remediación.

#### Medidas de Mitigación y Recomendaciones

A la fecha, Cisco ha publicado parches y procedimientos de mitigación para todos los modelos afectados. Se recomienda:

1. **Actualización inmediata** de todos los dispositivos IOS XE a la versión corregida.
2. **Deshabilitación de la interfaz de administración HTTP/HTTPS** si no es imprescindible.
3. **Supervisión continua** de logs y detección de cuentas administrativas no autorizadas.
4. **Análisis forense** de la configuración y archivos en busca de IoCs asociados a BADCANDY.
5. **Segmentación de red** y limitación del acceso a interfaces de administración solo desde redes seguras.
6. **Informe obligatorio a las autoridades**, conforme a GDPR y NIS2, en caso de indicios de compromiso.

#### Opinión de Expertos

Expertos en ciberseguridad como Lisa O’Connor (Deloitte) y José Palazón (elevenpaths) coinciden en que la explotación de CVE-2023-20198 es “un ejemplo paradigmático de la rapidez con que los actores de amenaza sofisticados se adaptan a nuevas vulnerabilidades críticas en dispositivos de red esenciales”. Señalan que los dispositivos de red suelen ser “el eslabón débil” en la estrategia de defensa, dada su criticidad y los retos operativos para su actualización.

#### Implicaciones para Empresas y Usuarios

El incidente recalca la importancia de la gestión proactiva de vulnerabilidades en infraestructuras de red. Los CISOs y equipos SOC deben priorizar la visibilidad sobre dispositivos de red y su ciclo de vida, implementando controles de acceso robustos, monitorización avanzada y políticas de respuesta a incidentes específicas para estos activos.

Para los usuarios finales, aunque el compromiso de IOS XE es menos directo, sí existe riesgo de intercepción de tráfico, suplantación de servicios y fuga de información personal, lo que podría derivar en sanciones regulatorias y pérdida de confianza.

#### Conclusiones

La campaña de explotación de CVE-2023-20198 y la aparición del implante BADCANDY demuestran el atractivo de los dispositivos de red como vector de ataque. La rápida adopción de parches, la monitorización activa y el refuerzo de políticas de segmentación y acceso son esenciales para mitigar este tipo de amenazas. La colaboración entre organismos nacionales, fabricantes y empresas es clave para reducir la ventana de exposición y proteger infraestructuras críticas frente a amenazas cada vez más avanzadas.

(Fuente: feeds.feedburner.com)