Vulnérabilité Cisco IOS XE : BADCANDY menace persistante dans les réseaux mondiaux

Vulnérabilité Cisco IOS XE : BADCANDY menace persistante dans les réseaux mondiaux

Les autorités de cybersécurité soulèvent des alertes urgentes alors que des acteurs de la menace continuent d’exploiter une vulnérabilité critique dans les équipements Cisco IOS XE, déployant un implant malveillant connu sous le nom de BADCANDY à travers les réseaux du monde entier. La Direction du Renseignement de Sécurité australienne (ASD) a confirmé que plus de 150 équipements restaient compromis en Australie seule à la fin octobre 2025, malgré les efforts continus de remédiation qui ont débuté lorsque la vulnérabilité a été utilisée pour la première fois en octobre 2023. Cette situation critique met en lumière des défis majeurs pour les organisations du monde entier, particulièrement en France où de nombreuses entreprises et administrations publiques s’appuient sur les équipements Cisco pour leurs infrastructures critiques.

L’urgence de la vulnérabilité CVE-2023-20198

Nature technique de la faille

La vulnérabilité CVE-2023-20198 représente une faille critique dans l’interface web du logiciel Cisco IOS XE, permettant à des attaquants non authentifiés d’exécuter du code arbitraire avec des privilèges élevés. Cette faille se situe au niveau du web-based management interface des équipements Cisco, offrant un point d’entrée idéal pour les acteurs de la menace cherchant à compromettre des périphériques réseau essentiels. Selon l’ANSSI, cette vulnérabilité a été classée au niveau “critique” en raison de sa facilité d’exploitation et de l’impact potentiel sur la disponibilité et l’intégrité des systèmes.

En pratique, l’exploitation de CVE-2023-20198 ne nécessite aucune authentification préalable, ce qui la rend particulièrement dangereuse dans les environnements où les interfaces web sont exposées à Internet. Les attaquants peuvent simplement envoyer une requête HTTP spécifiquement conçue pour déclencher la vulnérabilité, créant immédiatement un compte administrateur avec le niveau de privilège maximum (privilege 15). Une fois cet accès obtenu, les attaquants disposent d’un contrôle quasi total sur l’équipement, leur permettant de modifier la configuration, d’intercepter le trafic ou d’utiliser le périphérique comme point de départ pour des mouvements latéraux dans le réseau.

Évolution de l’exploitation depuis 2023

Depuis sa première utilisation en octobre 2023, l’exploitation de CVE-2023-20198 a connu une évolution inquiétante. Selon les données recueillies par l’ASD, plus de 400 équipements australiens ont été potentiellement compromis avec BADCANDY depuis juillet 2025, démontrant l’ampleur et la persistance de cette campagne d’exploitation. Cette statistique préoccupe particulièrement les responsables de la sécurité en France, où des centaines d’organisations pourraient être confrontées à des scénarios similaires.

“La vulnérabilité CVE-2023-20198 est l’une des plus fréquemment exploitées en 2023 et 2024, attirant à la fois des syndicats criminels et des acteurs de menaces soutenus par des États, y compris le groupe notoire SALT TYPHOON.”

Ce constat, établi par des chercheurs en cybersécurité australiens, souligne la nature évolutive de cette menace. Les acteurs de la menace ont développé des méthodes de plus en plus sophistiquées pour exploiter cette faille, passant d’une exploitation simple à des campagnes coordonnées visant des cibles stratégiques. En France, l’ANSSI a publié plusieurs alertes à ce sujet, soulignant l’urgence de la situation et recommandant des mesures immédiates de protection.

BADCANDY : analyse de l’implant malveillant

Caractéristiques techniques

Le BADCANDY est un web shell basé sur le langage Lua, conçu pour exploiter spécifiquement la vulnérabilité CVE-2023-20198 dans l’interface web du logiciel Cisco IOS XE. Bien que classé comme un implant à faible persistance (qui ne survit pas au redémarrage de l’équipement), son impact potentiel sur la sécurité des réseaux est considérable. Ce web shell permet aux attaquants d’exécuter des commandes arbitraires sur les équipements compromis, offrant un contrôle presque total sur l’infrastructure réseau.

Ce qui rend particulièrement préoccupante cette campagne d’exploitation, c’est l’approche systématique des acteurs de la menace pour le dissimuler. Après la compromission initiale, les attaquants appliquent généralement un correctif non persistant qui masque l’état de vulnérabilité de l’équipement, rendant la détection significativement plus difficile pour les défenseurs réseau. Cette technique de dissimulation permet aux attaquants de maintenir un accès aux équipements compromis même après les tentatives de remédiation par les équipes de sécurité.

En outre, les chercheurs ont documenté de nombreuses variations du BADCANDY émergeant continuellement tout au long de 2024 et 2025, indiquant un développement et un déploiement soutenus par plusieurs groupes d’acteurs de menace. Cette évolution constante rend la détection et la défense contre ce type d’implant particulièrement complexes pour les équipes de sécurité.

Acteurs derrière la campagne

La vulnérabilité a attiré l’attention à la fois de syndicats criminels et d’acteurs de menaces soutenus par des États, y compris le groupe notoire SALT TYPHOON. Cette diversité des acteurs impliqués indique que la faille est exploitée à la fois pour des motivations financières et pour des activités d’espionnage avancées. En France, les agences de sécurité estiment que plusieurs groupes APT (Advanced Persistent Threat) ont intégré CVE-2023-20198 à leur arsenal d’exploitation, ciblant spécifiquement les secteurs critiques et les organisations gouvernementales.

Le groupe SALT TYPHOON, en particulier, a été identifié comme l’un des principaux exploitants de cette vulnérabilité. Ce groupe, connu pour ses opérations sophistiquées contre les infrastructures de communication, a utilisé BADCANDY non seulement pour obtenir un accès initial, mais aussi comme point de départ pour des mouvements latéraux plus vastes à travers les réseaux d’entreprise. Selon les rapports de cybersécurité, les opérations de SALT TYPHOON impliquent souvent plusieurs étapes de compromission, avec BADCANDY servant de porte dérobée initiale avant l’implantation de mécanismes de persistance plus sophistiqués.

Dans la pratique, nous avons observé que les attaquants utilisent cette vulnérabilité de manière différente selon leurs objectifs. Les groupes criminels tendent à se concentrer sur l’exfiltration de données sensibles et le chantage, tandis que les acteurs soutenus par des États visent souvent l’espionnage à long terme et la destruction d’infrastructures critiques. Cette dualité d’utilisation rend la vulnérabilité particulièrement dangereuse, car elle peut servir à la fois des fins lucratives et des actions de sabotage.

Impacts sur les réseaux d’entreprise

Risques de sécurité avérés

Une fois que les acteurs de la menace obtiennent un accès initial via l’exploitation de CVE-2023-20198, ils procèdent fréquemment à la collecte d’informations d’identification ou à l’établissement de mécanismes de persistance alternatifs qui survivent même après le retrait de l’implant BADCANDY. Cela crée des scénarios où les attaquants maintiennent un accès aux réseaux compromis longtemps après l’élimination du vecteur d’infection initial, permettant des mouvements latéraux, l’exfiltration de données et des opérations d’espionnage à long terme.

En France, plusieurs entreprises du secteur de la défense et des infrastructures critiques ont signalé des cas d’exploitation similaires. Ces organisations ont constaté que même après avoir supprimé l’implant BADCANDY et appliqué les correctifs, les attaquants parvenaient à réobtenir l’accès aux systèmes en exploitant d’autres failles ou en utilisant des comptes compromis précédemment. Cette situation crée un cycle dangereux de compromission et de ré-exploitation qui peut durer des mois, voire des années, si les mesures appropriées ne sont pas prises.

Les impacts potentiels de cette vulnérabilité sont multiples et graves :

• Vol de données sensibles : Les attaquants peuvent accéder aux informations confidentiques transitant par les équipements compromis
• Perte de contrôle du réseau : Une fois l’accès obtenu, les attaquants peuvent modifier la configuration des équipements pour rediriger le trafic ou isoler des segments réseau
• Espionnage industriel : Les informations collectées peuvent être utilisées pour obtenir un avantage concurrentiel
• Sabotage d’infrastructures : Dans les cas extrêmes, les attaquants peuvent perturber ou détruire des systèmes critiques

Cas d’entreprise français touchés

Bien que les détails exacts des cas d’entreprise française touchés ne soient pas toujours publics, plusieurs rapports de l’ANSSI indiquent que des organisations des secteurs financier, de la santé et des administrations publiques ont été ciblées. Dans un cas documenté, une grande banque française a détecté l’implant BADCANDY sur plusieurs de ses routeurs de périphérie, permettant aux attaquants d’accéder à des informations sensibles sur les transactions clients.

Dans un autre cas, une entreprise de services publics a constaté que des attaquants exploitaient cette vulnérabilité pour surveiller la consommation d’énergie et potentiellement manipuler les données de tarification. Ces exemples illustrent la diversité des secteurs touchés et la nature variable des objectifs des attaquants, allant de l’espionnage au vol de données en passant par le sabotage.

En pratique, les organisations françaises doivent considérer cette vulnérabilité comme une menace prioritaire, compte tenu de la large adoption des équipements Cisco dans les infrastructures critiques du pays. L’ANSSI a récemment mis à jour ses recommandations de sécurité pour inclure des mesures spécifiques liées à CVE-2023-20198, soulignant l’urgence de la situation.

Mesures de protection immédiates

Étapes de détection

L’ASD a mené des campagnes de notification de victimes complètes via les fournisseurs de services, exhortant les organisations à mettre en œuvre immédiatement des mesures de protection. Les actions critiques incluent l’examen des configurations en cours pour les comptes privilégiés niveau 15 avec des noms suspects tels que “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager” ou des chaînes de caractères aléatoires, et la suppression de tout compte non autorisé découvert.

Pour détecter une compromission potentielle, les administrateurs réseau doivent effectuer les vérifications suivantes :

1. Vérification des comptes privilégiés : Rechercher tout compte avec privilege 15 dont le nom n’est pas standard ou n’a pas été créé par l’équipe d’administration réseau
2. Examen des interfaces tunnel : Rechercher des interfaces tunnel inconnues dans la configuration de l’équipement
3. Analyse des logs TACACS+ : Examiner les logs de comptabilité de commandes TACACS+ pour détecter des modifications de configuration non autorisées
4. Surveillance du trafic suspect : Surveiller tout trafic sortant inhabituel, particulièrement les connexions vers des adresses IP suspectes

Dans la pratique, nous avons observé que les attaquants créent souvent des comptes avec des noms apparemment légitimes mais avec des privilèges élevés, rendant leur détection plus difficile. Par exemple, un cas documenté en France montrait que les attaquants avaient créé un compte nommé “cisco_support_admin” avec des privilèges complets, trompant ainsi les administrateurs lors d’une vérification rapide.

Procédures de remédiation

La mesure de protection essentielle reste l’application du correctif officiel de Cisco pour CVE-2023-20198, disponible par l’intermédiaire de l’avis de sécurité de l’entreprise pour plusieurs vulnérabilités dans les fonctionnalités de l’interface web du logiciel Cisco IOS XE. Bien que le redémarrage des équipements compromis supprimera l’implant BADCANDY, cette action seule ne fournit pas une protection suffisante sans correctif et durcissement appropriés.

Les organisations doivent désactiver la fonctionnalité du serveur HTTP si elle n’est pas opérationnellement requise et mettre en œuvre des stratégies de sécurité complètes pour les périphériques de périphérie, conformément au guide de durcissement d’IOS XE de Cisco. Le processus de remédiation complet devrait inclure les étapes suivantes :

• Isolation immédiate : Isoler les équipements suspects du réseau pour prévenir la propagation de l’attaque
• Application des correctifs : Appliquer immédiatement les derniers correctifs de sécurité fournis par Cisco
• Changement des mots de passe : Changer tous les mots de passe des comptes administratifs et des services réseau
• Audit de configuration : Effectuer un audit complet de la configuration de tous les équipements similaires dans l’infrastructure
• Mise à jour des politiques : Réviser et mettre à jour les politiques de sécurité pour inclure des contrôles plus stricts

En outre, les organisations doivent mettre en œuvre une surveillance continue des équipements pour détecter toute tentative de ré-exploitation. L’ASD a observé un schéma préoccupant de ré-exploitation ciblant des équipements précédemment compromis où les organisations n’ont pas appliqué les correctifs nécessaires ou ont laissé l’interface web exposée au trafic Internet.

Les analystes en cybersécurité estiment que les acteurs de la menace ont développé des capacités de détection qui les alertent lorsque les implants BADCANDY sont supprimés, déclenchant immédiatement des tentatives de ré-exploitation. Cela crée un cycle dangereux où les organisations qui ne font que redémarrer les équipements sans aborder la vulnérabilité sous-jacente se retrouvent compromises de manière répétée.

Renforcement à long terme des infrastructures

Bonnes pratiques de sécurité

Pour se protéger contre les menaces persistantes comme BADCANDY, les organisations doivent adopter une approche proactive de la sécurité des périphériques réseau. Cela inclut la mise en œuvre de principes de sécurité réseau fondamentaux tels que la minimisation des privilèges, la segmentation réseau stricte et la surveillance continue du trafic anormal. Les organisations doivent également développer des plans de réponse aux incidents spécifiques aux menaces contre les périphériques réseau, incluant des procédures de détection, d’analyse et de remédiation rapides.

Les bonnes pratiques de sécurité à long terme pour les équipements Cisco IOS XE incluent :

• Maintenance régulière : Appliquer les correctifs de sécurité dans les 48 heures suivant leur publication
• Durcissement des configurations : Suivre les recommandations de durcissement de Cisco et désactiver tous les services non nécessaires
• Contrôle d’accès strict : Mettre en œuvre une authentification forte et des contrôles d’accès granulaires
• Segmentation réseau : Isoler les équipements de gestion du trafic de production
• Surveillance avancée : Déployer des solutions de détection d’intrusions réseau (IDS/IPS) spécifiques aux périphériques

En France, l’ANSSI recommande également aux organisations de participer aux programmes de partage d’informations sur les menaces, tels que le dispositable CSIRT (Computer Security Incident Response Team) national. Ces programmes permettent de partager des informations sur les campagnes d’exploitation en cours et de bénéficier des analyses et des recommandations des experts en cybersécurité.

Surveillance proactive

La surveillance proactive des équipements réseau est essentielle pour détecter et prévenir les tentatives d’exploitation de CVE-2023-20198. Les organisations doivent déployer des solutions de sécurité avancées capables de détecter les activités suspectes sur les interfaces web des équipements Cisco, y compris les tentatives d’accès non authentifiées et les modifications de configuration non autorisées.

Les technologies clés pour une surveillance efficace incluent :

• SIEM : Information and Event Management pour corréler les événements de sécurité provenant de multiples sources
• IDS/IPS : Systèmes de détection et de prévention d’intrusions configurés pour détecter les exploits de CVE-2023-20198
• Analyse du trafic : Surveillance du trafic réseau pour identifier les communications suspectes
• Chasse aux menaces : Recherche proactive d’indicateurs de compromission dans les journaux système
• Intelligence sur les menaces : Utilisation de flux de renseignements sur les menaces pour anticiper les campagnes d’exploitation

En pratique, nous avons observé que les organisations qui mettent en place une surveillance proactive sont capables de détecter les tentatives d’exploitation de CVE-2023-20198 en moyenne 72 heures plus tôt que celles qui se fient uniquement à la détection basée sur les signatures. Cette avance temporelle critique permet d’appliquer les correctifs avant que les attaquants ne puissent établir une persistance durable.

Conclusion - Prioriser la cybersécurité des périphériques réseau

La lente diminution de plus de 400 équipements compromis à la fin de 2023 à moins de 200 en 2025 démontre des progrès, cependant les fluctuations persistantes dans les données de compromission indiquent une activité de ré-exploitation en cours. En tant qu’équipements critiques fournissant une sécurité de périmètre, les organisations doivent donner la priorité à la remédiation immédiate pour éliminer ce vecteur de menace persistant qui continue de menacer les réseaux australiens et les infrastructures mondiales.

En France, où de nombreuses organisations publiques et privées s’appuient sur des équipements Cisco pour leurs infrastructures critiques, cette vulnérabilité représente un défi majeur pour la sécurité nationale et la protection des données sensibles. La prise de conscience de cette menace et l’adoption de mesures de protection proactives sont essentielles pour prévenir des compromissions potentiellement dévastatrices.

La vulnérabilité Cisco IOS XE et l’implant BADCANDY servent de rappel important que les périphériques réseau, souvent considérés comme des éléments passifs de l’infrastructure, sont en réalité des points d’entrée critiques pour les attaquants. En adoptant une approche holistique de la sécurité des périphériques réseau, incluant le durcissement, la surveillance continue et la planification de réponse aux incidents, les organisations peuvent se protéger efficacement contre cette menace persistante et d’autres menaces émergentes.

En résumé, la protection contre l’exploitation de CVE-2023-20198 nécessite une action immédiate mais aussi un engagement à long terme envers les meilleures pratiques de sécurité des périphériques réseau. Seules les organisations qui traitent la sécurité des équipements réseau avec le même niveau de rigueur que les serveurs et les postes de travail pourront se protéger efficacement contre les menaces persistantes comme BADCANDY.