الأمن السيبراني

ASD تحذر من هجمات BADCANDY المستمرة التي تستغل ثغرة أمنية في Cisco IOS XE

صورة eshrag eshrag أرسل بريدا إلكترونيا
0 15 2 دقائق
ASD تحذر من هجمات BADCANDY المستمرة التي تستغل ثغرة أمنية في Cisco IOS XE


01 نوفمبر 2025رافي لاكشمانانالذكاء الاصطناعي / الضعف

ASD تحذر من هجمات BADCANDY المستمرة التي تستغل ثغرة أمنية في Cisco IOS XE

مديرية الإشارات الأسترالية (ASD) لديها صادر نشرة حول الهجمات الإلكترونية المستمرة التي تستهدف أجهزة Cisco IOS XE غير المصححة في الدولة باستخدام عملية زرع غير موثقة سابقًا تُعرف باسم باداندي.

يتضمن النشاط، وفقًا لوكالة الاستخبارات، استغلال CVE-2023-20198 (درجة CVSS: 10.0)، وهي ثغرة أمنية حرجة تسمح لمهاجم بعيد غير مصادق عليه بإنشاء حساب بامتيازات مرتفعة واستخدامه للسيطرة على الأنظمة الحساسة.

لقد تعرض الخلل الأمني ​​للاستغلال النشط منذ عام 2023 الماضي، حيث قامت جهات التهديد المرتبطة بالصين مثل Salt Typhoon بتسليحه في الأشهر الأخيرة لاختراق مزودي الاتصالات.

خدمات التجنيب DFIR

أشارت ASD إلى أنه تم اكتشاف أشكال مختلفة من BADCANDY منذ أكتوبر 2023، مع استمرار تسجيل مجموعة جديدة من الهجمات في عامي 2024 و2025. وتشير التقديرات إلى أن ما يصل إلى 400 جهاز في أستراليا قد تعرض للاختراق بواسطة البرامج الضارة منذ يوليو 2025، منها 150 جهازًا أصيبت في أكتوبر وحده.

وقالت: “BADCANDY عبارة عن غلاف ويب منخفض الأسهم يستند إلى Lua، وقد طبقت الجهات الفاعلة السيبرانية عادةً تصحيحًا غير مستمر بعد التسوية لإخفاء حالة ضعف الجهاز فيما يتعلق بـ CVE-2023-20198”. “في هذه الحالات، يشير وجود غرسة BADCANDY إلى اختراق جهاز Cisco IOS XE، عبر CVE-2023-20198.”

ويعني عدم وجود آلية للاستمرارية أنها لا تستطيع البقاء على قيد الحياة عبر عمليات إعادة تشغيل النظام. ومع ذلك، إذا ظل الجهاز بدون إصلاح ومعرضًا للإنترنت، فمن الممكن لممثل التهديد إعادة تقديم البرامج الضارة واستعادة الوصول إليها.

وقد قدرت ASD أن الجهات الفاعلة في مجال التهديد قادرة على اكتشاف وقت إزالة الغرسة وإصابة الأجهزة مرة أخرى. ويستند ذلك إلى حقيقة أن إعادة الاستغلال قد حدثت على الأجهزة التي سبق للوكالة أن أصدرت إخطارات بشأنها إلى الجهات المتضررة.

ومع ذلك، فإن إعادة التشغيل لن تؤدي إلى التراجع عن الإجراءات الأخرى التي اتخذها المهاجمون. لذلك من الضروري أن يقوم مشغلو النظام بتطبيق التصحيحات، والحد من العرض العام لواجهة مستخدم الويب، واتباع ما يلزم المبادئ التوجيهية تصلب الصادرة عن شركة Cisco لمنع محاولات الاستغلال المستقبلية.

مجموعات بناء رابطة الدول المستقلة

بعض الإجراءات الأخرى التي حددتها الوكالة مذكورة أدناه –

  • قم بمراجعة التكوين الجاري تشغيله للحسابات ذات الامتياز 15 وقم بإزالة الحسابات غير المتوقعة أو غير المعتمدة
  • قم بمراجعة الحسابات ذات السلاسل العشوائية أو “cisco_tac_admin” أو “cisco_support” أو “cisco_sys_manager” أو “cisco” وقم بإزالتها إذا لم تكن شرعية
  • قم بمراجعة التكوين قيد التشغيل لواجهات النفق غير المعروفة
  • قم بمراجعة تسجيل محاسبة أوامر TACACS+ AAA لمعرفة تغييرات التكوين، إذا تم تمكينها



Source link

الوسوم
صورة eshrag eshrag أرسل بريدا إلكترونيا
0 15 2 دقائق
صورة eshrag

eshrag

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى