Các cơ quan an ninh mạng đang liên tục phát đi cảnh báo khẩn cấp khi các nhóm tác nhân đe dọa tiếp tục khai thác một lỗ hổng CVE nghiêm trọng trong các thiết bị Cisco IOS XE, triển khai mã độc BADCANDY implant trên khắp các mạng lưới toàn cầu.

Cụ thể, Cục Tín hiệu Úc (ASD) đã xác nhận rằng hơn 150 thiết bị ở riêng Úc vẫn bị xâm nhập tính đến cuối tháng 10 năm 2025, bất chấp các nỗ lực khắc phục liên tục bắt đầu từ khi lỗ hổng này bị vũ khí hóa lần đầu vào tháng 10 năm 2023.

CVE-2023-20198: Khai thác Lỗ hổng trên Cisco IOS XE

Mã độc BADCANDY implant đại diện cho một mối đe dọa tinh vi nhưng dễ tiếp cận đối với các tổ chức phụ thuộc vào Cisco IOS XE Software với khả năng giao diện người dùng web.

Web shell dựa trên Lua này khai thác CVE-2023-20198, một lỗ hổng nghiêm trọng cho phép kẻ tấn công từ xa, không cần xác thực, tạo các tài khoản có đặc quyền cao trên các hệ thống dễ bị tổn thương.

Từ đó, kẻ tấn công có thể thiết lập quyền kiểm soát hoàn toàn đối với các thiết bị bị ảnh hưởng, bao gồm việc thực thi mã từ xa (remote code execution).

Lỗ hổng này đã thu hút sự chú ý từ cả các băng nhóm tội phạm và các nhóm tác nhân đe dọa được nhà nước bảo trợ, bao gồm cả nhóm SALT TYPHOON khét tiếng.

CVE-2023-20198 được công nhận là một trong những lỗ hổng bị khai thác thường xuyên nhất trong năm 2023.

Để biết thêm chi tiết kỹ thuật về lỗ hổng, bao gồm điểm CVSS và tác động, tham khảo Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD).

Cơ chế hoạt động của BADCANDY Implant và Kỹ thuật Che giấu

Đặc điểm kỹ thuật của BADCANDY

BADCANDY được phân loại là một implant “low-equity” (mức độ đầu tư thấp), có nghĩa là nó không tồn tại sau khi thiết bị khởi động lại.

Mặc dù vậy, bản chất không tồn tại này ít mang lại sự yên tâm cho các đội ngũ bảo mật vì nó có thể được triển khai lại nhanh chóng.

Đây là một web shell được viết bằng ngôn ngữ lập trình Lua, cho phép các tác nhân đe dọa thực thi lệnh từ xa (remote code execution) và quản lý hệ thống trên các thiết bị Cisco IOS XE đã bị xâm nhập.

Kỹ thuật che giấu và duy trì truy cập

Điều làm cho chiến dịch này trở nên đặc biệt đáng lo ngại là cách tiếp cận có hệ thống của các tác nhân đe dọa trong việc che giấu sự hiện diện của mình.

Sau khi xâm nhập ban đầu, kẻ tấn công thường áp dụng một bản vá không tồn tại (non-persistent patch) để che giấu trạng thái dễ bị tổn thương của thiết bị.

Kỹ thuật này khiến việc phát hiện lỗ hổng CVE trở nên khó khăn hơn đáng kể đối với những người bảo vệ mạng, cho phép chúng hoạt động ngầm trong thời gian dài.

Sau khi giành quyền truy cập ban đầu thông qua việc khai thác CVE-2023-20198, các tác nhân đe dọa thường thu thập thông tin xác thực tài khoản hoặc thiết lập các cơ chế duy trì truy cập thay thế.

Các cơ chế này có thể bao gồm việc cài đặt backdoors, tạo tài khoản người dùng hợp pháp nhưng độc hại, hoặc sửa đổi cấu hình hệ thống để đảm bảo truy cập bền vững.

Chúng tồn tại ngay cả sau khi BADCANDY implant bị loại bỏ.

Điều này tạo ra các kịch bản trong đó kẻ tấn công duy trì quyền truy cập vào các mạng đã bị xâm nhập rất lâu sau khi vector lây nhiễm ban đầu đã được loại bỏ, từ đó tạo điều kiện cho di chuyển ngang (lateral movement), đánh cắp dữ liệu và các hoạt động gián điệp dài hạn.

Quy mô và Sự dai dẳng của Khai thác

Từ tháng 7 năm 2025, các đánh giá của ASD chỉ ra rằng hơn 400 thiết bị của Úc có khả năng đã bị xâm nhập bởi BADCANDY.

Con số này cho thấy quy mô và sự dai dẳng đáng báo động của chiến dịch khai thác lỗ hổng CVE này.

Các nhà nghiên cứu bảo mật đã ghi nhận các biến thể của BADCANDY implant liên tục xuất hiện trong suốt năm 2024 và 2025, cho thấy sự phát triển và triển khai liên tục bởi nhiều nhóm tác nhân đe dọa.

Các thông tin chi tiết về các biến thể và cảnh báo liên quan có thể xem tại Trang cảnh báo an ninh mạng của Úc (Cyber.gov.au).

Mô hình Tái xâm nhập nguy hiểm

ASD đã quan sát thấy một mô hình tái xâm nhập đáng lo ngại nhắm mục tiêu vào các thiết bị Cisco IOS XE đã từng bị xâm nhập trước đó.

Hiện tượng này xảy ra khi các tổ chức không áp dụng các bản vá cần thiết hoặc để giao diện web tiếp xúc với lưu lượng internet công cộng.

Các nhà phân tích an ninh mạng tin rằng các tác nhân đe dọa đã phát triển khả năng phát hiện khi BADCANDY implant bị loại bỏ.

Sự phát hiện này sẽ kích hoạt các nỗ lực tái xâm nhập ngay lập tức, thường thông qua cùng một lỗ hổng CVE nếu chưa được vá.

Điều này tạo ra một chu kỳ nguy hiểm, nơi các tổ chức chỉ đơn thuần khởi động lại thiết bị mà không giải quyết lỗ hổng CVE cơ bản sẽ thấy mình liên tục bị xâm nhập, gây lãng phí tài nguyên và gia tăng rủi ro.

Biện pháp Khắc phục và Bảo vệ Khẩn cấp

Các cơ quan an ninh mạng của Úc đang tiến hành các chiến dịch thông báo nạn nhân toàn diện thông qua các nhà cung cấp dịch vụ, kêu gọi các tổ chức thực hiện các biện pháp bảo vệ ngay lập tức để giảm thiểu rủi ro từ Cisco IOS XE và BADCANDY implant.

Kiểm tra và Loại bỏ Tài khoản đáng ngờ

Rà soát các cấu hình đang chạy (running configurations) để tìm kiếm các tài khoản đặc quyền 15 với các tên đáng ngờ như cisco_tac_admin, cisco_support, cisco_sys_manager, hoặc các chuỗi ký tự ngẫu nhiên.

Đây là những tài khoản thường được kẻ tấn công tạo ra để duy trì quyền truy cập. Thực hiện gỡ bỏ bất kỳ tài khoản trái phép nào được phát hiện ngay lập tức.

enable
show running-config | include username
configure terminal
no username cisco_tac_admin
no username [suspicious_username]
end
write memory

Việc kiểm tra định kỳ các tài khoản người dùng là một phần quan trọng của quản lý bảo mật thiết bị.

Kiểm tra Giao diện Tunnel và Nhật ký AAA

Các tổ chức cũng phải kiểm tra cấu hình để tìm kiếm các giao diện tunnel (ví dụ: GRE, IPsec) không xác định hoặc không được ủy quyền.

Các giao diện này có thể được sử dụng để thiết lập các kênh liên lạc bí mật với máy chủ C2 (Command and Control) của kẻ tấn công.

Ngoài ra, cần xem xét kỹ lưỡng các nhật ký kế toán lệnh TACACS+ AAA để tìm bằng chứng về các thay đổi cấu hình trái phép, đặc biệt là các lệnh liên quan đến việc tạo tài khoản, thay đổi quyền hoặc thiết lập các dịch vụ mới.

show ip interface brief
show running-config | include interface Tunnel
show aaa accounting

Phân tích nhật ký có thể giúp phát hiện sớm các hành vi bất thường.

Ưu tiên Áp dụng Bản vá Bảo mật Chính thức

Biện pháp bảo vệ thiết yếu nhất vẫn là áp dụng bản vá bảo mật chính thức của Cisco cho CVE-2023-20198.

Bản vá này có sẵn thông qua thông báo bảo mật của công ty về nhiều lỗ hổng trong các tính năng Web UI của Cisco IOS XE Software.

Việc khởi động lại các thiết bị bị xâm nhập sẽ loại bỏ BADCANDY implant do bản chất không tồn tại của nó, nhưng hành động này một mình không đủ bảo vệ nếu không vá lỗi và tăng cường bảo mật đúng cách.

Nếu không có bản vá, lỗ hổng CVE sẽ vẫn mở, cho phép kẻ tấn công tái xâm nhập dễ dàng.

Tăng cường Bảo mật Thiết bị Biên

Các tổ chức phải tắt tính năng máy chủ HTTP (ip http server và ip http secure-server) nếu không được yêu cầu về mặt hoạt động.

Việc tắt các dịch vụ không cần thiết giúp giảm bề mặt tấn công của thiết bị.

Đồng thời, cần triển khai các chiến lược bảo mật thiết bị biên toàn diện theo hướng dẫn tăng cường bảo mật của Cisco IOS XE, bao gồm việc sử dụng ACL, giới hạn truy cập quản trị, và triển khai các hệ thống phát hiện xâm nhập (IDS) hoặc hệ thống ngăn chặn xâm nhập (IPS).

configure terminal
no ip http server
no ip http secure-server
end
write memory

Việc cứng hóa (hardening) thiết bị biên là một bước phòng thủ quan trọng.

Sự sụt giảm ổn định từ hơn 400 thiết bị bị xâm nhập vào cuối năm 2023 xuống dưới 200 thiết bị vào năm 2025 cho thấy sự tiến bộ trong nỗ lực khắc phục.

Tuy nhiên, những biến động liên tục trong dữ liệu xâm nhập chỉ ra hoạt động tái khai thác vẫn đang diễn ra, nhấn mạnh tính cấp thiết của việc áp dụng các biện pháp bảo mật liên tục và hiệu quả.

Vì các thiết bị biên đại diện cho các thành phần mạng quan trọng cung cấp bảo mật chu vi, các tổ chức phải ưu tiên khắc phục ngay lập tức để loại bỏ vector mối đe dọa dai dẳng này, vốn tiếp tục gây nguy hiểm cho các mạng của Úc và cơ sở hạ tầng toàn cầu.