概述与修复指南:Cisco IOS XE Web UI漏洞(CVE-2023–20198),亦称BadCandy
2025年11月1日,澳大利亚信号局(ASD)警告称,利用名为BadCandy的恶意植入物的攻击活动再次出现,目标依然是老旧但高危的Cisco IOS XE Web UI漏洞CVE-2023–20198。利用该漏洞,未经认证的远程攻击者可通过Web UI创建具有privilege-15权限的管理员账户,从而完全控制受影响设备。Cisco已于2023年发布软件更新修复此漏洞,建议运维人员立即安装补丁,并检查是否存在其他被入侵的迹象。
本文提供关于BadCandy的全面概述、使用Criminal IP的暴露面分析、攻击场景以及推荐的响应措施。
BadCandy对Cisco IOS XE Web UI漏洞的利用分析
BadCandy是一个基于Lua的Web Shell(植入物),通过利用Cisco IOS XE Web UI漏洞CVE-2023–20198(CVSS 10.0)安装。该Web Shell不具备持久性,设备重启后可能消失,但如果攻击者窃取的管理凭据仍然有效,他们可以重新利用同一设备或扩散到其他设备以维持长期访问。该漏洞存在于启用Web UI(HTTP/HTTPS服务器)并对外暴露的物理或虚拟设备上。因此,应优先检查开放Web UI的设备是否存在未授权账户或配置变更迹象。
通过AI驱动的威胁狩猎识别公网暴露的Cisco IOS XE Web UI系统
使用Criminal IP资产搜索的Web UI暴露指标,识别了全球Cisco IOS XE设备的暴露情况。以下查询利用了Cisco IOS XE Web UI所使用的SSL证书通用名称(CN)通常设置为“IOS-Self-Signed”这一特点,从而实现有效过滤。
搜索查询:
"<script>window.onload=function(){ url ='/webui';window.location.href=url;}</script>" ssl_subject_common_name: IOS-Self-Signed
通过上述ssl_subject_common_name过滤器,可以根据SSL证书的通用名称(CN)搜索HTTPS服务器。
截至2025年11月10日,通过Criminal IP资产搜索,全球共识别出22,193个暴露的Cisco IOS XE Web UI实例。但Web UI对外暴露并不一定意味着设备未打补丁或感染恶意软件。每个实例都应仔细检查固件和软件版本、补丁状态、是否存在未授权管理员账户以及最近的配置变更日志。
根据Criminal IP元素分析结果,截至2025年11月10日,暴露Cisco IOS XE Web UI实例最多的国家是墨西哥(3,144)、秘鲁(2,375)和智利(1,498)。这三个国家合计占全球暴露总量的30%以上。此外,美国排名第四,共发现1,407个实例。
这些结果表明,Cisco IOS XE Web UI仍然广泛暴露于公网,国内运维人员也应仔细检查自己的设备是否暴露,并审查配置状态。
与Cisco IOS XE Web UI安全漏洞相关的IP地址扩展分析
Criminal IP的IP报告页面提供特定IP地址的详细信息,包括受影响的漏洞、利用历史、开放端口、地理位置和WHOIS数据。
根据目标IP地址的报告,SSH(端口22)和HTTPS(端口443)对外暴露。尽管目前尚未发现已知的恶意活动或利用历史,但管理接口可从互联网访问——尤其是远程端口22开放——可能使设备成为攻击者的主要目标。
因此,建议首先检查管理接口是否对外暴露,并审查该IP地址的账户配置。
BadCandy攻击场景与执行流程
ASD报告称,自2025年7月以来,澳大利亚已有超过400台设备被发现可能感染了BadCandy,截至10月底,仍有150多台在线。有案例显示,攻击者通过非持久性修改隐藏感染痕迹,并反复重新利用设备,导致调查和响应工作延迟。
攻击流程通常如下:
- 识别暴露在互联网上的Web UI。
- 尝试远程利用CVE-2023–20198获取权限。
- 如果利用成功,创建privilege level 15的管理员账户或部署基于Lua的Web Shell(BadCandy)。
- 攻击者通过更改设备配置、建立隧道、创建额外账户和窃取凭据来确保持久网络访问。
- 如果运维人员重启设备或Web Shell被暂时移除,植入物可能会消失——但攻击者可以利用仍有效的被盗凭据再次入侵。
因此,仅重启设备无法消除威胁,必须在打补丁的同时撤销凭据并验证配置。
针对Cisco IOS XE Web UI漏洞的建议缓解措施
-
立即打补丁: 使用Cisco发布的修复版本(建议滚动升级)。打补丁前后务必备份配置和日志。
-
阻止外部Web UI访问: 通过ACL/防火墙限制对管理网络的访问,或完全禁用Web UI。如果运维限制不允许这样做,则限制允许的源IP并对管理访问实施多因素认证。
-
全面调查并撤销未授权账户: 立即停用并删除异常账户,包括具有privilege-15权限的账户。全面撤销并重新颁发相关密码、API令牌和SSH密钥。
-
保留证据: 收集TACACS+/AAA日志、系统日志、配置变更记录(CLI历史、配置变更条目)以及NTP同步的时间戳。
-
完成后重新验证: 应用补丁并撤销凭据后,验证外部暴露状态、最近的登录或命令历史,以及任何异常的crontab或脚本。
-
持续监控: 利用攻击面管理(ASM)能力(如Criminal IP)持续跟踪Web UI暴露资产清单,并使用元素分析确定区域影响和优先级。
结论
Cisco IOS XE Web UI漏洞(CVE-2023–20198)是一个众所周知的高危漏洞,而BadCandy活动正是攻击者快速利用未及时打补丁的互联网暴露设备的典型案例。为了有效缓解此威胁,请按以下顺序优先采取行动:打补丁 → 限制Web UI访问 → 删除未授权账户。结合凭据管理、集中日志收集(监控配置变更)以及基于ASM的暴露资产清单管理(例如Criminal IP),以打破重利用循环。首先获取网络内的暴露资产清单,然后依次执行建议步骤并重新验证每个环节。
与此相关,您可以参考《Cisco IOS XE零日漏洞:揭示超过56,000台暴露设备》一文。 CSD0tFqvECLokhw9aBeRqiMrfqaosPDUcdXvnNthBjRDiL9vRsDKpROu8plscyz++Hp3C4pBe7TXHO5SCZHbXzPM0J2d3FzAwpxRMuqqYrPtC2otJ0FTU4cfwFai/4vhdDCudwglxW6MxHgZl0jAp1Y6JeFXtDNKo1JjTOFxTO6Pei0u6j8bGDctBmSI7uSY
