Vulnérabilité Cisco IOS XE : comment BADCANDY menace vos réseaux en 2025
Orphée Grandsable
Vulnérabilité Cisco IOS XE : comment BADCANDY menace vos réseaux en 2025
Les autorités de cybersécurité du monde entier lancent des alertes urgentes tandis que des acteurs de menaces continuent d’exploiter une vulnérabilité critique dans les équipements Cisco IOS XE, déployant un implant malveillant connu sous le nom de BADCANDY à travers les réseaux mondiaux. L’Australian Signals Directorate (ASD) a confirmé que plus de 150 appareils restaient compromis en Australie seule à la fin octobre 2025, malgré les efforts continus de remédiation initiés lorsque la vulnérabilité a été utilisée pour la première fois en octobre 2023. Cette situation critique exige une attention immédiate de la part de toutes les organisations dépendant des équipements Cisco IOS XE.
La vulnérabilité CVE-2023-20198 : faille critique dans Cisco IOS XE
Description technique de la faille
La vulnérabilité CVE-2023-20198 représente une faille critique dans l’interface web du logiciel Cisco IOS XE, permettant aux attaquants non authentifiés d’exécuter du code arbitraire avec des privilèges élevés. Cette faille se situe dans les fonctionnalités de l’interface utilisateur web du logiciel, offrant aux attaquants un vecteur d’exploitation particulièrement dangereux. Dans la pratique, une simple requête HTTP envoyée à un périphérique vulnérable peut suffire pour compromettre complètement l’équipement.
Selon les analyses menées par les équipes de sécurité, cette vulnérabilité permet la création de comptes à privilèges élevés (niveau 15) sans aucune authentification préalable. Une fois exploitée, elle offre un contrôle total sur l’appareil, transformant un simple périphérique réseau en une porte d’entrée potentiellement désastreuse pour l’ensemble de l’infrastructure.
Évolution de l’exploitation depuis 2023
L’histoire de cette vulnérabilité commence en octobre 2023, lorsque les premières preuves d’exploitation dans la nature ont été documentées. À cette époque, les chercheurs en sécurité ont observé une utilisation ciblée par des groupes sophistiqués, mais l’échelle restait relativement limitée. Toutefois, depuis mi-2025, les choses ont radicalement changé.
Les évaluations de l’ASD indiquent que plus de 400 appareils australiens ont potentiellement été compromis avec BADCANDY depuis juillet 2025, démontrant l’ampleur et la persistance de cette campagne d’exploitation.
Cette progression exponentielle reflète l’intérêt croissant des acteurs de menaces pour cette faille, qui est désormais reconnue comme l’une des vulnérabilités les plus exploitées de 2023. Selon les rapports de sécurité, le nombre d’appareils compromis en Australie a diminué de plus de 50% entre fin 2023 et fin 2025, passant de plus de 400 à environ 150, mais ces chiffres restent alarmants et indiquent une activité de re-exploitation continue.
L’implant BADCANDY : techniques et dissimulation
Fonctionnement de l’implant
BADCANDY est un implant basé sur Lua conçu spécifiquement pour exploiter la vulnérabilité CVE-2023-20198 dans les périphériques Cisco IOS XE. Son architecture légère lui permet de s’intégrer discrètement dans l’environnement de l’appareil compromis, tout en offrant aux attaquants des capacités d’exécution de commandes à distance. Bien que classé comme un implant à faible équité (low-equity) qui ne survit pas au redémarrage de l’appareil, sa simplicité d’utilisation et son efficacité en font une menace particulièrement redoutable.
Les chercheurs en sécurité ont documenté diverses variantes de l’implant BADCANDY émergeant continuellement tout au long de 2024 et 2025, indiquant un développement et un déploiement soutenus par plusieurs groupes d’acteurs de menaces. Cette évolution constante rend la détection encore plus complexe pour les équipes de défense en sécurité.
Techniques de dissipation avancées
Ce qui rend particulièrement dangereuse cette campagne d’exploitation, c’est l’approche systématique des attaquants pour dissimuler leur présence. Après la compromission initiale, les attaquants appliquent généralement un correctif non persistant qui masque l’état de vulnérabilité de l’appareil, rendant la détection significativement plus difficile pour les défenseurs réseau.
Néanmoins, même si BADCANDY ne survit pas au redémarrage de l’appareil, cette caractéristique fournit peu de réconfort aux équipes de sécurité. En pratique, les attaquants utilisent l’implant comme tremplin pour établir des mécanismes de persistance alternatifs qui survivent même après la suppression de BADCANDY. Une fois que les attaquants ont obtenu un accès initial par l’exploitation de CVE-2023-20198, ils récoltent fréquemment les informations d’identification des comptes ou établissent des mécanismes de persistance alternatifs qui persistent même après le retrait de l’implant BADCANDY.
Étendue de la menace et acteurs impliqués
Données chiffrées de l’ASD
Les chiffres fournis par l’ASD offrent un aperçu inquiétant de l’ampleur de cette menace. À la fin octobre 2025, plus de 150 appareils restaient compromis en Australie malgré les efforts de remédiation en cours. Ces chiffres représentent une diminution par rapport au pic de plus de 400 appareils potentiellement compromises observé depuis juillet 2025, mais les fluctuations persistent dans les données de compromission indiquent une activité de re-exploitation continue.
Une analyse plus approfondie révèle que les secteurs les plus touchés incluent les infrastructures critiques, les grandes entreprises et les agences gouvernementales. Ces organisations, en raison de leur dépendance aux équipements réseau Cisco et de leur exposition potentielle à Internet, constituent des cibles de choix pour les acteurs de menaces.
Profils des acteurs malveillants
La vulnérabilité CVE-2023-20198 a attiré l’attention à la fois de syndicats criminels et d’acteurs étatiques, dont le groupe notoire SALT TYPHOON. Cette diversité d’acteurs augmente considérablement la gamme de menaces potentielles, allant du vol de données financières à l’espionnage industriel et aux opérations de sabotage.
Dans la pratique, les observateurs ont noté une évolution dans les tactiques employées. Les groupes criminels se concentrent généralement sur l’exfiltration de données sensibles et le chantage, tandis que les acteurs étatiques poursuivent des objectifs plus stratégiques, tels que l’espionnage à long terme ou la préparation pour des actions plus destructrices en temps de crise.
L’ASD a observé un schéma préoccupant de re-exploitation ciblant les appareils précédemment compromises où les organisations n’ont pas appliqué les correctifs nécessaires ou ont laissé l’interface web exposée au trafic Internet. Les analystes en cybersécurité estiment que les acteurs de menaces ont développé des capacités de détection qui les alertent lorsque les implants BADCANDY sont supprimés, déclenchant immédiatement des tentatives de re-exploitation.
Impacts pour les organisations
Risques opérationnels
Une fois qu’un périphérique réseau est compromis via BADCANDY, les conséquences peuvent être immenses et variées. Le risque le plus évident est la perte de contrôle sur les périphériques réseau critiques, qui constituent souvent les points d’entrée et de sortie de l’ensemble du trafic réseau. Cette perte de contrôle peut permettre aux attaquants d’observer, modifier ou même détourner le trafic réseau.
En outre, les attaquants utilisent fréquemment la compromission initiale comme point de départ pour un mouvement latéral à travers le réseau. En exploitant la confiance établie entre les systèmes et en utilisant les informations d’identification récoltées, ils peuvent se déplacer verticalement et horizontalement à travers l’infrastructure, accédant finalement aux systèmes les plus sensibles.
Conséquences stratégiques
Au-delà des impacts opérationnels immédiats, la compromission de périphériques réseau critiques peut avoir des conséquences stratégiques à long terme. Ces équipements, situés au périmètre de sécurité, agissent comme des gardiens du réseau. Leur compromission affaiblit considérablement la posture de sécurité globale de l’organisation.
Par ailleurs, dans de nombreux secteurs réglementés, la compromission d’équipements réseau peut entraîner des problèmes de conformité, notamment avec le RGPD en Europe ou d’autres réglementations sectorielles. Les organisations pourraient également subir des dommages importants à leur réputation en cas de divulgation publique d’une compromission, affectant ainsi leur relation avec les clients, partenaires et investisseurs.
Détection et réponse aux compromissions
Signes d’activité malveillante
Déterminer si un périphérique Cisco IOS XE a été compromis via BADCANDY nécessite une vigilance constante et des compétences d’analyse avancées. Plusieurs indicateurs spécifiques peuvent aider les équipes de sécurité à identifier une compromission potentielle. Tout d’abord, la présence de comptes privilégiés avec des noms suspects tels que « cisco_tac_admin », « cisco_support », « cisco_sys_manager » ou des chaînes de caractères aléatoires est un signal d’alarme majeur.
En outre, l’apparition d’interfaces tunnel inconnues dans la configuration de l’appareil peut indiquer une activité malveillante. Ces interfaces sont souvent créées par les attaquants pour établir des canaux de communication persistants avec les systèmes compromis. Enfin, l’examen des journaux TACACS+ AAA pour les commandes de comptabilité peut révéler des modifications de configuration non autorisées, ce qui constitue un autre signe de compromission potentielle.
Méthodes d’analyse forensique
Lorsqu’une compromission est suspectée ou confirmée, une analyse forensique approfondie est essentielle pour comprendre l’étendue de l’infraction et éliminer complètement la menace. Cette analyse doit commencer par un examen approfondi des configurations en cours d’exécution pour identifier tous les comptes privilégiés suspects et les modifications non autorisées.
Les équipes de sécurité doivent également examiner les journaux système et les journaux d’accès pour identifier toute activité anormale ou suspecte. Dans de nombreux cas, les attaquants tentent de supprimer leurs traces des journaux, mais des techniques d’analyse forensique avancées peuvent souvent récupérer ces informations supprimées.
Enfin, une évaluation complète de l’impact est nécessaire pour déterminer si les attaquants ont réussi à établir des mécanismes de persistance alternatifs ou à accéder à d’autres systèmes du réseau. Cette évaluation doit inclure une analyse du trafic réseau, des journaux d’authentification et des activités système sur tous les systèmes potentiellement exposés au risque de mouvement latéral.
Mesures de prévention immédiate
Correctifs et mises à jour
La mesure de prévention la plus essentielle reste l’application immédiate du correctif officiel Cisco pour CVE-2023-20198, disponible à travers l’avis de sécurité de l’entreprise pour plusieurs vulnérabilités dans les fonctionnalités de l’interface utilisateur web du logiciel Cisco IOS XE. Les organisations doivent traiter cette mise à jour avec la plus haute priorité, car elle constitue la seule méthode pour éliminer complètement la vulnérabilité sous-jacente.
Toutefois, il est important de noter que le simple redémarrage des appareils compromis supprimera l’implant BADCANDY, mais cette action seule ne fournit pas une protection suffisante sans correctif et durcissement appropriés. Les organisations doivent suivre un processus de mise à jour structuré qui inclut d’abord l’isolement des systèmes potentiellement compromis, puis l’application du correctif, et enfin une vérification approfondie pour s’assurer que l’exploitation a été entièrement éliminée.
Renforcement de la sécurité des périphériques
En plus d’appliquer les correctifs, les organisations doivent mettre en œuvre des stratégies de durcissement pour leurs périphériques réseau Cisco. L’une des mesures les plus efficaces consiste à désactiver la fonctionnalité du serveur HTTP si elle n’est pas opérationnellement requise. Cette mesure simple peut éliminer de nombreux vecteurs d’exploitation potentiels.
Les organisations doivent également mettre en œuvre des stratégies de sécurité complètes pour les périphériques de bordure en suivant le guide de durcissement Cisco IOS XE. Ce guide recommande plusieurs mesures importantes, notamment la désactivation des services inutiles, l’utilisation de listes de contrôle d’accès (ACL) pour restreindre l’accès aux interfaces de gestion, et la mise en œuvre de protocoles d’authentification forts.
Voici les mesures de durcissement essentielles à appliquer :
- Désactiver tous les services non nécessaires
- Utiliser des mots de passe forts et changer les mots de passe par défaut
- Mettre en œuvre le chiffrement pour toutes les communications de gestion
- Restreindre l’accès aux interfaces de gestion via ACL
- Activer l’authentification multi-facteurs lorsque cela est possible
- Surveiller en permanence les configurations et les journaux système
Plan de remédiation complet
Étapes d’urgence
Lorsqu’une compromission par BADCANDY est suspectée ou confirmée, une réponse rapide et structurée est essentielle pour limiter les dommages. Le premier pas consiste à effectuer un inventaire complet de tous les périphériques Cisco IOS XE exposés au trafic Internet, en identifiant spécifiquement ceux qui exécutent des versions logicielles vulnérables.
Une fois les appareils compromis identifiés, ils doivent être immédiatement isolés du réseau pour prévenir tout mouvement latéral supplémentaire. Cette isolation doit être effectuée avec soin pour éviter d’interrompre les opérations critiques, mais elle doit être complète pour empêcher les attaquants de communiquer avec les systèmes compromis.
L’étape suivante consiste à appliquer le correctif officiel Cisco CVE-2023-20198 à tous les systèmes affectés. Cette mise à jour doit être effectuée selon un processus contrôlé, idéalement dans un environnement de test d’abord, puis en production. Après l’application du correctif, les appareils doivent être redémarrés pour supprimer tout implant résiduel.
Stratégies à long terme
Pour prévenir de futures compromissions similaires, les organisations doivent mettre en place des stratégies de sécurité robustes qui vont au-delà de la simple application de correctifs. Un programme de gestion continue des vulnérabilités est essentiel pour identifier et traiter rapidement les nouvelles vulnérabilités dès leur publication.
La surveillance avancée des périphériques de bordure est également cruciale. Les organisations doivent déployer des solutions de détection d’intrusion réseau (NIDS) et des systèmes de prévention des intrusions réseau (NIPS) spécifiquement conçus pour détecter les activités anormales sur les équipements réseau. Ces systèmes doivent être configurés pour alerter sur tout trafic suspect, y compris les connexions non autorisées aux interfaces de gestion.
Enfin, la formation régulière des équipes de sécurité est essentielle pour maintenir leurs compétences à jour face aux menaces émergentes. Les formations devraient couvrir à la fois les aspects techniques de la sécurité des périphériques réseau et les procédures de réponse aux incidents, y compris les scénarios spécifiques liés aux menaces comme BADCANDY.
Vers une résilience réseau accrue
Leçons apprises
L’émergence de BADCANDY et l’exploitation continue de CVE-2023-20198 offrent plusieurs leçons importantes pour les organisations. La première concerne l’importance cruciale de la visibilité sur le réseau. Sans une compréhension claire de tous les périphériques connectés, de leurs configurations et de leur état de sécurité, il est impossible de détecter efficacement les compromissions.
Une autre leçon importante est la nécessité d’une approche défensive en profondeur. La simple dépendance à des mesures de sécurité périmétriques, comme les pare-feu, est insuffisante pour faire face aux menaces modernes. Les organisations doivent déployer plusieurs couches de défense, y compris la segmentation réseau, la détection d’anomalies et le contrôle d’accès granulaire.
Enfin, le rôle crucial des mises à jour de sécurité ne peut être surestimé. Les organisations doivent établir des processus robustes pour appliquer rapidement les correctifs de sécurité dès leur publication, en particulier pour les vulnérabilités critiques comme CVE-2023-20198.
Préparation aux menaces futures
Pour renforcer leur résilience face aux menaces futures, les organisations doivent adopter une approche proactive de la sécurité. Cela inclut l’investissement dans des technologies de détection avancées, telles que les plateformes de détection et de réponse aux menaces (XDR) qui peuvent fournir une visibilité holistique sur l’ensemble de l’infrastructure.
Le partage d’informations sur les menaces est également crucial. Les organisations doivent participer à des programmes de partage d’informations sectorielles et consulter régulièrement les bulletins de sécurité des fournisseurs et des autorités gouvernementales. Cette approche collaborative permet de bénéficier des leçons apprises par d’autres organisations et d’anticiper les menaces émergentes.
Enfin, les organisations doivent régulièrement tester leur posture de sécurité à travers des exercices de simulation d’attaques et des tests d’intrusion. Ces exercices permettent d’identifier les vulnérabilités avant qu’elles ne soient exploitées par des attaquants et d’améliorer continuellement les procédures de réponse aux incidents.
Conclusion : agir maintenant pour protéger votre réseau
La vulnérabilité Cisco IOS XE et l’implant BADCANDY représentent une menace sérieuse pour les organisations du monde entier. Avec plus de 150 appareils toujours compromis en Australie fin octobre 2025 malgré les efforts de remédiation, il est clair que cette menace n’est pas passagère mais constitue un défi persistant qui exige une réponse immédiate et coordonnée.
Les organisations dépendant des équipements Cisco IOS XE doivent traiter cette menace avec la plus haute priorité. Cela commence par l’application immédiate du correctif pour CVE-2023-20198, suivie d’un audit complet des configurations pour détecter toute trace d’activité malveillante. Les mesures de durcissement supplémentaires, telles que la désactivation du serveur HTTP non nécessaire et la mise en œuvre de contrôles d’accès stricts, sont essentielles pour prévenir de futures exploitations.
Face à une menace évolutive et persistante, l’inaction n’est pas une option. La cybersécurité est un processus continu plutôt qu’un état statique, et les organisations doivent adopter une approche proactive pour protéger leurs infrastructures critiques. En agissant maintenant et en mettant en place des défenses robustes, les organisations peuvent non seulement éliminer la menace actuelle mais aussi renforcer leur résilience face aux menaces futures qui inévitablement émergeront dans le paysage cyber toujours plus complexe de 2025 et au-delà.