O governo australiano alertou para ataques cibernéticos ativos contra dispositivos Cisco IOS XE desprotegidos, usados em redes corporativas e governamentais. De acordo com a Diretoria de Sinais da Austrália (ASD) os atacantes continuam infectando roteadores com o shell web BadCandy, que lhes permite executar comandos com privilégios de root.
A vulnerabilidade explorada nesses ataques é designada CVE-2023-20198. Trata-se de uma falha crítica que permite que usuários remotos não autenticados criem contas de administrador local por meio da interface web e assumam o controle total do dispositivo. A Cisco corrigiu a vulnerabilidade em outubro de 2023, publicando um aviso oficial .
No entanto, algumas semanas após o lançamento da atualização, uma vulnerabilidade foi descoberta online, desencadeando ataques generalizados a dispositivos. Pesquisadores descobriram que os invasores estavam injetando um componente malicioso chamado BadCandy em roteadores — um shell web baseado em Lua capaz de executar comandos arbitrários e instalar backdoors.
Segundo a ASD, os ataques continuaram em 2024 e 2025. O número de sistemas vulneráveis permanece significativo: desde julho de 2025, especialistas da agência identificaram mais de 400 dispositivos infectados na Austrália e, no final de outubro, ainda havia mais de 150 comprometimentos ativos. Apesar da queda geral no número de incidentes, os atacantes continuam a atacar os mesmos roteadores.
O malware é removido quando o dispositivo é reiniciado, mas, devido à falta de atualizações, pode ser facilmente reinstalado se uma interface web permanecer acessível pela internet. De acordo com o ASD, os hackers rastrearam o momento em que o BadCandy foi removido e rapidamente retornaram aos mesmos alvos.
Para mitigar os riscos, a agência envia notificações aos proprietários com instruções sobre como atualizar o firmware, reforçar a segurança e conduzir uma investigação. Nos casos em que o proprietário do dispositivo não possa ser identificado, a ASD trabalha com os provedores de serviços de internet para garantir que eles entrem em contato com os clientes afetados.
A vulnerabilidade CVE-2023-20198 foi explorada anteriormente em campanhas atribuídas ao grupo chinês Salt Typhoon, que visavam empresas de telecomunicações nos EUA e no Canadá.
A Cisco recomenda que todos os administradores do IOS XE instalem imediatamente as correções e implementem as recomendações do guia oficial de segurança do dispositivo .
