Vulnérabilité Cisco IOS XE : l'implant BADCANDY menace les réseaux mondiaux
Aurélien Fontevive
Vulnérabilité Cisco IOS XE : l’implant BADCANDY menace les réseaux mondiaux
Les autorités de cybersécurité émettent des alertes urgentes alors que les acteurs de menaces continuent d’exploiter une vulnérabilité critique dans les appareils Cisco IOS XE, déployant un implant malveillant connu sous le nom de BADCANDY à travers les réseaux du monde entier. Selon l’ASD (Australian Signals Directorate), plus de 150 appareils restent compromis en Australie seule à la fin octobre 2025, malgré les efforts continus de remédiation. Cette situation démontre l’urgence de comprendre et de contrer cette menace persistante qui cible des infrastructures critiques. La vulnérabilité Cisco IOS XE représente un défi majeur pour les organisations de toutes tailles.
L’essentiel de la vulnérabilité BADCANDY
Origine et nature de la faille
La vulnérabilité Cisco IOS XE, identifiée sous la référence CVE-2023-20198, constitue une faille critique dans le logiciel Cisco IOS XE doté d’une interface web utilisateur. Cette vulnérabilité permet à des attaquants non authentifiés de créer des comptes hautement privilégiés sur les systèmes vulnérables et d’établir un contrôle complet sur les appareils affectés. Le malware BADCANDY exploite spécifiquement cette faille pour implanter un web shell basé sur Lua, offrant aux attaquants une porte d’entrée persistante dans les réseaux d’entreprise.
« BADCANDY est classé comme un implant à faible équité qui ne survit pas aux redémarrages d’appareils, mais sa nature non persistante offre peu de réconfort aux équipes de sécurité »
Évolution de la menace
Depuis son identification en octobre 2023, cette vulnérabilité a connu une évolution préoccupante. Les chercheurs en cybersécurité ont documenté diverses variantes de l’implant BADCANDY émergeant continuellement tout au long de 2024 et 2025, indiquant un développement et un déploiement soutenus par plusieurs groupes d’acteurs de menaces. Cette évolution constante rend la détection et la mitigation particulièrement difficiles pour les défenseurs réseau.
Étendue et impact de l’attaque
Données chiffrées inquiétantes
- Plus de 400 appareils australiens potentiellement compromises avec BADCANDY depuis juillet 2025
- Plus de 150 appareils restent compromis en Australie malgré les efforts de remédiation
- La vulnérabilité figure parmi les top routineusement exploitées en 2023 selon les rapports spécialisés
Ces chiffres, bien que reflétant principalement la situation en Australie, donnent un aperçu de l’ampleur mondiale de cette campagne d’exploitation. L’ASD a observé un déclin progressif du nombre d’appareils compromis, passant de plus de 400 à la fin 2023 à moins de 200 en 2025, indiquant des avancées dans les mesures de mitigation. Toutefois, les fluctuations persistantes dans les données de compromission indiquent une activité de ré-exploitation continue.
Acteurs de menaces impliqués
Cette vulnérabilité a attiré l’attention à la fois de syndicats criminels et d’acteurs de menaces parrainés par l’État. Le groupe notoire SALT TYPHOON a été identifié comme l’un des acteurs de menace exploitant activement cette faille. La diversité des acteurs impliqués, allant des cybercriminels aux groupes étatiques, multiplie les vecteurs d’attaque et complifie la tâche des défenseurs réseau.
Techniques d’exploitation et de dissimulation
Approche systématique des attaquants
Ce qui rend cette campagne particulièrement préoccupante, c’est l’approche systématique des acteurs de menaces pour le dissimulation. Après la compromission initiale, les attaquants appliquent généralement un correctif non persistant qui masque l’état de vulnérabilité de l’appareil, rendant la détection significativement plus difficile pour les défenseurs réseau. Cette technique permet aux attaquants de maintenir un accès latent aux appareils tout en évitant les méthodes de détection standard.
Cycle de ré-exploitation dangereux
Les analystes en cybersécurité estiment que les acteurs de menaces ont développé des capacités de détection qui les alertent lorsque les implants BADCANDY sont supprimés, déclenchant immédiatement des tentatives de ré-exploitation. Cela crée un cycle dangereux où les organisations qui ne font que redémarrer les appareils sans aborder la vulnérabilité sous-jacente se retrouvent compromises de manière répétée.
Tableau : Comparaison des types d’implants réseau
| Caractéristique | BADCANDY | Implant persistant standard |
|---|---|---|
| Survie au redémarrage | Non | Oui |
| Complexité d’implantation | Faible | Élevée |
| Détection par les EDR | Difficile | Facile |
| Capacité de persistance | Limitée | Étendue |
| Type d’acteurs | Criminels et étatiques | Principalement étatiques |
Mesures de protection et remédiation
Étapes immédiates de protection
Dans la pratique, les organisations doivent prendre plusieurs mesures immédiates pour se protéger contre cette menace :
- Examen des configurations en cours d’exécution pour les comptes de privilège 15 avec des noms suspects tels que « cisco_tac_admin », « cisco_support », « cisco_sys_manager » ou des chaînes de caractères aléatoires
- Suppression de tout compte non autorisé découvert lors de l’examen
- Vérification des configurations pour les interfaces de tunnel inconnues
- Examen des journaux TACACS+ AAA pour les preuves de modifications de configuration non autorisées
Correctifs et durcissement
La mesure de protection essentielle reste l’application du correctif officiel de Cisco pour CVE-2023-20198, disponible via l’avis de sécurité de l’entreprise pour plusieurs vulnérabilités dans les fonctionnalités de l’interface Web du logiciel Cisco IOS XE. Par ailleurs, les organisations doivent désactiver la fonctionnalité du serveur HTTP si elle n’est pas opérationnellement requise et mettre en œuvre des stratégies de sécurité de périphérique edge complètes conformément au guide de durcissement Cisco IOS XE.
« Le redémarrage des appareils compromis supprimera l’implant BADCANDY, mais cette action seule offre une protection insuffisante sans correctif et durcissement adéquats »
Stratégies de sécurité réseau avancées
Néanmoins, les organisations doivent adopter des stratégies de sécurité réseau avancées pour se protéger contre les menaces émergentes. Cela inclut :
- La segmentation du réseau pour limiter la propagation des attaques
- La surveillance continue du trafic anormal
- L’application rigoureuse des moindres privilèges
- La mise à jour régulière des micrologiciels des périphériques réseau
Implications pour les infrastructures critiques
Périphériques réseau comme cible prioritaire
Les périphériques réseau représentent des composants critiques du réseau fournissant une sécurité périmétrale. En tant que tels, ils constituent des cibles de choix pour les attaquants cherchant à établir une présence durable dans les infractions. La vulnérabilité Cisco IOS XE et l’implant BADCANDY représentent une menace persistante qui continue de compromettre les réseaux australiens et les infrastructures mondiales.
Conséquences à long terme
Une fois que les acteurs de menaces ont obtenu un accès initial via l’exploitation de CVE-2023-20198, ils récoltent souvent les informations d’identification des comptes ou établissent des mécanismes de persistance alternatifs qui survivent même après la suppression de l’implant BADCANDY. Cela crée des scénarios où les attaquants maintiennent l’accès aux réseaux compromis longtemps après l’élimination du vecteur d’infection initial, permettant une mouvement latéral, l’exfiltration de données et des opérations d’espionnage à long terme.
Conclusion : agir face à la vulnérabilité Cisco IOS XE
La vulnérabilité Cisco IOS XE et l’implant BADCANDY représentent un défi majeur pour les organisations de toutes tailles. Bien que les efforts de remédiation aient montré des résultats positifs avec une diminution du nombre d’appareils compromis, la nature persistente de cette menace exige une vigilance continue et des mesures proactives.
Les organisations doivent prioriser la remédiation immédiate pour éliminer ce vecteur de menace persistant qui continue de menacer les réseaux australiens et les infrastructures mondiales. En appliquant les correctifs officiels, en durcissant les configurations et en mettant en œuvre des stratégies de sécurité réseau avancées, les organisations peuvent se protéger efficacement contre cette menace et d’autres similaires.
La vulnérabilité Cisco IOS XE nous rappelle l’importance cruciale de maintenir une posture de sécurité robuste pour les périphériques réseau critiques dans un paysage menacé en constante évolution.