Vulnérabilité Cisco IOS XE : BADCANDY menace les réseaux mondiaux

Apollinaire Monteclair

Vulnérabilité Cisco IOS XE : BADCANDY menace les réseaux mondiaux

Les autorités de cybersécurité émettent des alertes urgentes alors que des acteurs de menace continuent d’exploiter une vulnérabilité critique dans les équipements Cisco IOS XE, déployant un implant malveillant connu sous le nom de BADCANDY à travers les réseaux du monde entier. L’Australian Signals Directorate (ASD) a confirmé qu’au-delà de 150 appareils restaient compromis en Australie seule à la fin octobre 2025, malgré les efforts continus de remédiation. Cette campagne d’exploitation représente une menace significative pour les organisations dépendant du logiciel Cisco IOS XE avec interface utilisateur web, car elle permet aux attaquants d’établir un contrôle complet sur les systèmes affectés.

L’urgence de la menace : BADCANDY et CVE-2023-20198

L’implant BADCANDY exploite spécifiquement la vulnérabilité CVE-2023-20198, une faille jugée critique qui permet aux attaquants non authentifiés de créer des comptes hautement privilégiés sur les systèmes vulnérables. Ce web shell basé sur Lua tire parti des fonctionnalités de l’interface web du logiciel Cisco IOS XE, représentant une menace à la fois sophistiquée et accessible. Selon les rapports de l’ASD, plus de 400 appareils australiens ont été potentiellement compromis avec BADCANDY depuis juillet 2025, démontrant l’ampleur et la persistance de cette campagne d’exploitation.

« Ce qui rend cette campagne particulièrement préoccupante est l’approche systématique des acteurs de menace pour le camouflage. Après la compromission initiale, les attaquants appliquent généralement un correctif non persistant qui masque l’état de vulnérabilité de l’appareil, rendant la détection considérablement plus difficile pour les défenseurs réseau. »

Les chercheurs en cybersécurité ont documenté diverses variantes de l’implant BADCANDY émergeant continuellement tout au long de 2024 et 2025, indiquant un développement et un déploiement soutenus par plusieurs groupes d’acteurs de menace. Bien que BADCANDY soit classé comme un implant à faible équité qui ne survive pas aux redémarrages d’appareil, sa nature non persistante offre peu de réconfort aux équipes de sécurité, car les attaquants établissent souvent des mécanismes de persistance alternatifs après l’exploitation initiale.

Impact sur les organisations : chiffres et conséquences

La vulnérabilité Cisco IOS XE a attiré l’attention à la fois des syndicats criminels et des acteurs de menace sponsorisés par des États, y compris le groupe notoire SALT TYPHOON. Elle a été reconnue comme l’une des vulnérabilités les plus exploitées de routine en 2023, selon les rapports de l’ANSSI et du CISA. Une fois que les attaquants ont obtenu un accès initial grâce à l’exploitation de CVE-2023-20198, ils récoltent fréquemment les informations d’identification des comptes ou établissent des mécanismes de persistance qui survivent même après la suppression de l’implant BADCANDY.

Conséquences des compromissions :

  • Établissement de comptes hautement privilégiés avec accès complet au système
  • Possibilité de mouvement latéral à travers le réseau
  • Exfiltration de données sensibles
  • Opérations d’espionnage à long terme
  • Dommage à la réputation et pertes financières potentielles

L’ASD a observé un schéma préoccupant de ré-exploitation ciblant les appareils précédemment compromis où les organisations n’ont pas appliqué les correctifs nécessaires ou ont laissé l’interface web exposée au trafic Internet. Les analystes en cybersécurité estiment que les acteurs de menace ont développé des capacités de détection qui les alertent lorsque les implants BADCANDY sont supprimés, déclenchant immédiatement de nouvelles tentatives d’exploitation.

« Cela crée un cycle dangereux où les organisations qui redémarrent simplement les appareils sans aborder la vulnérabilité sous-jacente se retrouvent compromises de manière répétée. La tendance à la baisse de plus de 400 appareils compromis à la fin de 2023 à moins de 200 en 2025 démontre des progrès, mais les fluctuations persistantes dans les données de compromission indiquent une activité de ré-exploitation en cours. »

Mécanismes d’exploitation et techniques des attaquants

L’exploitation de CVE-2023-20198 suit un processus méthodique qui commence par une reconnaissance ciblée des équipements Cisco IOS XE exposés sur Internet. Les attaquants utilisent diverses techniques pour identifier les appareils vulnérables, y compris les scans de port et les recherches de CVE spécifiques dans des bases de données publiques. Une fois qu’un appareil vulnérable est identifié, les attaquants envoient des requêtes HTTP spécialement conçues pour exploiter la faille et déployer l’implant BADCANDY.

Processus typique d’exploitation :

  1. Reconnaissance : Identification des équipements Cisco IOS XE avec interface web exposée
  2. Exploitation : Envoi de requêtes HTTP malveillantes pour exploiter CVE-2023-20198
  3. Déploiement : Installation de l’implant BADCANDY et création de comptes privilégiés
  4. Camouflage : Application d’un correctif non persistant pour masquer la compromission
  5. Persistance : Établissement de mécanismes de persistance alternatifs
  6. Objectivation : Mouvement latéral, exfiltration de données, ou espionnage

Les chercheurs ont observé que les acteurs de menace utilisent fréquemment des noms de compte suspects pour les comptes privilégiés qu’ils créent, tels que “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager” ou des chaînes de caractères aléatoires. Ces comptes permettent aux attaquants d’exécuter des commandes avec des privilèges administratifs complets, modifiant la configuration de l’appareil, accédant à des sensibles réseau, et potentiellement compromettre d’autres systèmes sur le réseau.

En pratique, les attaquants exploitent également les journaux TACACS+ AAA pour comptabiliser les commandes et masquer leurs activités. Cette technique avancée rend la détection des modifications non autorisées particulièrement difficile, car les commandes exécutées par les attaquants apparaissent comme légitimes dans les journaux système. Les organisations qui n’examinent pas attentivement ces journaux risquent de ne détecter la compromission que des semaines ou des mois après son occurrence initiale.

Stratégies de détection et de remédiation

La détection des compromissions liées à BADCANDY nécessite une approche multicouche combinant l’analyse de configuration, l’examen des journaux système, et le monitoring du trafic réseau. Les organisations doivent examiner attentivement les configurations en cours à la recherche de comptes privilégiés avec des noms suspects, d’interfaces de tunnel inconnues, ou d’autres anomalies indiquant une compromission potentielle. En outre, l’examen des journaux TACACS+ AAA pour les commandes de comptabilité peut révéler des modifications de configuration non autorisées.

Étapes de détection :

  1. Examiner les configurations en cours à la recherche de comptes privilégiés suspects
  2. Rechercher des interfaces de tunnel inconnues dans la configuration
  3. Analyser les journaux TACACS+ AAA pour les commandes de comptabilité
  4. Surveiller le trafic réseau sortant anormal à partir d’appareils critiques
  5. Utiliser des outils de détection d’intrusion spécialisés pour identifier les activités suspectes

La remédiation immédiate est essentielle pour limiter l’impact de cette vulnérabilité. L’application du correctif officiel de Cisco pour CVE-2023-20198, disponible dans l’avis de sécurité de l’entreprise pour plusieurs vulnérabilités dans les fonctionnalités Web UI du logiciel Cisco IOS XE, reste la mesure de protection la plus cruciale. Cependant, le simple redémarrage des appareils compromis supprimera l’implant BADCANDY mais ne fournira une protection insuffisante sans correctif et durcissement appropriés.

Néanmoins, dans les situations où l’application immédiate du correctif n’est pas possible, les organisations peuvent mettre en œuvre des mesures temporaires pour réduire la surface d’attaque. Ces mesures incluent la désactivation de la fonctionnalité du serveur HTTP si elle n’est pas opérationnellement requise, la restriction de l’accès à l’interface web à des adresses IP approuvées uniquement, et l’implémentation de listes de contrôle d’accès (ACL) pour limiter le trafic entrant.

Recommandations de protection pour les administrateurs réseau

Les autorités australiennes de cybersécurité mènent des campagnes de notification aux victimes par l’intermédiaire des fournisseurs de services, encourageant les organisations à mettre en œuvre immédiatement des mesures de protection. Les actions critiques incluent l’examen des configurations en cours pour les comptes privilégiés avec des noms suspects, la suppression de tout compte non autorisé découvert, et l’application du correctif Cisco pour CVE-2023-20198. Les appareils réseau d’extrémité représentant des composants réseau critiques fournissant une sécurité périmétrique, les organisations doivent donner la priorité à la remédiation immédiate pour éliminer ce vecteur de menace persistant.

Mesures de protection immédiates :

  1. Appliquer immédiatement le correctif Cisco pour CVE-2023-20198
  2. Examiner et supprimer tout compte privilégié non autorisé
  3. Désactiver la fonctionnalité du serveur HTTP si non requise
  4. Implémenter des stratégies de durcissement des appareils IOS XE selon le guide de Cisco
  5. Surveiller activement les tentatives d’exploitation et les activités suspectes

En pratique, les administrateurs réseau doivent également implémenter une stratégie de surveillance continue pour détecter toute tentative d’exploitation ou de ré-exploitation. Cela inclut la configuration d’alertes pour les connexions suspectes aux interfaces web, la surveillance des modifications de configuration non autorisées, et l’analyse régulière du trafic réseau à la recherche d’indicateurs de compromission. Les organisations doivent également s’assurer que leurs processus de remédiation incluent non seulement l’application des correctifs, mais également le changement des mots de passe et la vérification complète de l’intégrité du système.

« Les appareils réseau d’extrémité représentent des composants critiques fournissant une sécurité périmétrale. Leur compromission peut avoir des conséquences en chaîne à travers tout l’organisation, potentiellement permettant aux attaquants de contourner d’autres défenses et d’accéder à des systèmes plus sensibles. »

Dans le contexte français, l’ANSSI a publié des recommandations spécifiques pour les organisations utilisant des équipements Cisco IOS XE, soulignant l’importance de la remédiation rapide et de la mise en œuvre de mesures de durcissement supplémentaires. Ces recommandations incluent la limitation de l’exposition de l’interface web à Internet, l’utilisation de protocoles d’authentification forts, et la mise en œuvre de mécanismes de détection d’intrusion adaptés aux environnements réseau critiques.

Cas concret : l’expérience d’une organisation française

Début 2025, une grande organisation française spécialisée dans les services financiers a découvert que plusieurs de ses routeurs Cisco IOS XE de périphérie avaient été compromis par l’implant BADCANDY. L’organisation avait initialement identifié l’anomalie grâce à des alertes inhabituelles générées par son système de détection d’intrusion (IDS). Une enquête approfondie a révélé que les attaquants avaient exploité CVE-2023-20198 pour créer un compte administrateur avec le nom “cisco_sys_manager”.

L’équipe de sécurité de l’organisation a immédiatement isolé les appareils compromis, appliqué les correctifs nécessaires, et remplacé tous les mots de passe potentiellement exposés. Cependant, pendant l’analyse forensique, l’équipe a découvert que les attaquants avaient établi un mécanisme de persistance alternatif qui aurait survécu au redémarrage des appareils. Cette découverte a souligné l’importance d’une approche holistique de la remédiation qui va au-delà de l’application des correctifs initiaux.

Leçons tirées de ce cas :

  • La détection précoce grâce à un système de surveillance robuste est essentielle
  • Les acteurs de menace établissent souvent des mécanismes de persistance alternatifs
  • La remédiation doit inclure des vérifications complémentaires de l’intégrité du système
  • La surveillance continue est nécessaire même après l’application des correctifs

Depuis cet incident, l’organisation a mis en œuvre des mesures de durcissement supplémentaires, y compris la segmentation réseau renforcée, la surveillance continue du trafic sortant anormal, et des audits de sécurité réguliers de tous les équipements réseau critiques. Ces mesures ont non seulement aidé à prévenir de futurs incidents, mais ont également amélioré la visibilité et la posture de sécurité globale de l’organisation.

Tableau comparatif des mesures de protection

Mesure de protectionEfficacitéComplexité d’implémentationImpact opérationnel
Application du correctif CiscoÉlevéeFaibleMineur pendant le déploiement
Durcissement de l’interface webÉlevéeMoyenneModéré selon la configuration existante
Surveillance avancéeMoyenneÉlevéeFaible en continu, modéré pendant l’analyse
Segmentation réseauÉlevéeÉlevéeModéré à élevé selon l’architecture existante
Limitation de l’accès à l’interfaceMoyenneFaibleMineur

Conclusion et prochaines actions

La vulnérabilité Cisco IOS XE et l’implant BADCANDY représentent une menace persistante et évolutive pour les organisations du monde entier. Malgré les efforts de remédiation, plus de 150 appareils restaient compromis en Australie seule à la fin octobre 2025, démontrant la résilience de cette campagne d’exploitation. Les organisations doivent donner la priorité à l’application immédiate du correctif Cisco pour CVE-2023-20198 et à la mise en œuvre de mesures de durcissement supplémentaires pour protéger leurs réseaux critiques.

En pratique, une approche proactive de la sécurité réseau est essentielle pour faire face à cette menace. Cela inclut une surveillance continue des appareils réseau, des audits de sécurité réguliers, et une planification de réponse aux incidents bien définie. Les organisations doivent également s’assurer que leurs équipes de sécurité sont formées pour détecter et répondre efficacement aux tentatives d’exploitation de cette vulnérabilité spécifique.

Pour les organisations françaises en particulier, la conformité avec les recommandations de l’ANSSI concernant la sécurité des équipements réseau est non seulement une bonne pratique de sécurité, mais également une exigence réglementaire dans de nombreux secteurs. La vulnérabilité Cisco IOS XE doit être traitée avec la plus grande priorité, non seulement pour protéger les infrastructures critiques, mais également pour assurer la conformité avec les cadres réglementaires applicables.