Wereldwijd zijn er meer dan 14.000 Cisco-routers en -switches besmet met de Badcandy-backdoor. Dat is de conclusie van een onderzoek van The Shadowserver Foundation. De non-profitorganisatie werkt samen met Europol om cybercriminaliteit te bestrijden.
Privilege 15
De kwetsbaarheid, CVE-2023-20198, bevindt zich in de web user interface van IOS XE, waar routers en switches van Cisco gebruik van maken. Via dit beveiligingslek kan een kwaadwillende een account met ‘privilege 15’ aanmaken en het systeem overnemen. Zowel fysieke als virtuele devices die op IOS XE draaien, lopen risico. De impact van de kwetsbaarheid is beoordeeld met een 10.0, op een schaal van 1 tot en met 10.
Gestolen inloggegevens
Wanneer hackers achter de Badcandy-backdoor toegang tot een router of switch hebben, installeren ze de backdoor. Tevens patchen ze beveiligingslek CVE-2023-20198. Zowel de achterdeur als de toegepaste patch zijn niet bestand tegen een reboot van het apparaat. Wel kunnen de hackers met behulp van gestolen inloggegevens of andere beveiligingslekken alsnog toegang hebben tot een gecompromitteerd device.
Klik hier voor het dashboard van The Shadowserver Foundation.