Faille Cisco IOS XE : L'implant malveillant BADCANDY exploité en milieu réel

Hippolyte Valdegré

Faille Cisco IOS XE : L’implant malveillant BADCANDY exploité en milieu réel

Les autorités de cybersécurité émettent des alertes urgentes alors que des acteurs de la menace continuent d’exploiter une faille critique dans les équipements Cisco IOS XE, déployant un implant malveillant connu sous le nom de BADCANDY à travers les réseaux du monde entier. Direction des Signaux d’Australie (ASD) a confirmé que plus de 150 appareils restaient compromis en Australie seule à fin octobre 2025, malgré les efforts de remédiation en cours. Cette campagne d’exploitation représente une menace significative pour les organisations françaises et européennes qui dépendent des équipements Cisco pour leurs infrastructures critiques.

L’implant BADCANDY constitue une menace sophistiquée yet accessible pour les organisations utilisant le logiciel Cisco IOS XE avec interface utilisateur web. Ce web shell basé sur Lua exploite CVE-2023-20198, une faille critique qui permet aux attaquants non authentifiés de créer des comptes hautement privilégiés sur les systèmes vulnérables et d’établir un contrôle complet sur les appareils affectés.

Caractéristiques techniques de l’attaque BADCANDY

Mécanismes d’exploitation de la faille

La faille CVE-2023-20198 dans Cisco IOS XE Software Web UI permet aux attaquants de contourner les mécanismes d’authentification standard pour obtenir un accès administratif complet aux dispositifs. Une fois exploitée, cette faille permet d’exécuter du code arbitraire avec les privilèges les plus élevés, offrant aux attaquants la capacité de modifier la configuration du dispositif, de surveiller le trafic réseau et d’établir des points d’accès persistants pour des futures opérations.

En pratique, les attaquants exploitent cette faille en envoyant des requêtes HTTP spécialement conçues à l’interface web du dispositif. Ces requêtes exploitent une vulnérabilité dans le mécanisme de traitement des requêtes, permettant d’exécuter des commandes système avec les privilèges du compte root. Le déploiement de l’implant BADCANDY se fait généralement en deux étapes : d’abord, l’exploitation initiale pour obtenir un accès privilégié, puis l’installation de l’implant pour maintenir cet accès.

Évolution de l’implant BADCANDY

Les chercheurs en sécurité ont documenté diverses variantes de l’implant BADCANDY émergeant continuellement tout au long de 2024 et 2025, indiquant un développement et un déploiement soutenus par plusieurs groupes d’acteurs de la menace. Cette évolution rapide rend la détection et la défense contre cette menace particulièrement difficiles pour les équipes de sécurité.

BADCANDY est classé comme un implant à faible équité qui ne survit pas aux redémarrages des dispositifs. Cependant, sa nature non persistante offre peu de réconfort aux équipes de sécurité, car les attaquants peuvent facilement le réinstaller après chaque redémarrage.

Techniques de dissimulation avancées

Ce qui rend cette campagne particulièrement préoccupante, c’est l’approche systématique des attaquants pour la dissimulation - après la compromission initiale, les attaquants appliquent généralement un correctif non persistant qui masque l’état de vulnérabilité du dispositif, rendant la détection significativement plus difficile pour les défenseurs réseau.

En outre, les attaquants ont développé des capacités de détection qui les alertent lorsque les implants BADCANDY sont supprimés, déclenchant immédiatement des tentatives de ré-exploitation. Cela crée un cycle dangereux où les organisations qui ne redémarrent simplement les dispositifs sans adresser la vulnérabilité sous-jacente se retrouvent compromises de manière répétée.

Acteurs impliqués et motivations

Groupes criminels et étatiques

La faille a attiré l’attention à la fois des syndicats criminels et des acteurs de la menace étatique, y compris le redouté groupe SALT TYPHOON, et a été reconnue parmi les vulnérabilités exploitées de routine en 2023. La diversité des acteurs exploitant cette faille indique sa valeur stratégique dans le paysage des menaces actuel.

Selon les analyses des agences de cybersécurité, plusieurs groupes distincts exploitent activement cette faille, chacun avec des motivations différentes. Certains groupes sont motivés par des raisons financières, visant le vol de données sensibles ou le chantage, tandis que d’autres poursuivent des objectifs d’espionnage industriel ou géopolitique.

Ciblage spécifique des infrastructures critiques

Les appareils réseau représentent des cibles de choix pour les attaquants car ils se situent au point de convergence du trafic réseau, offrant un accès à l’ensemble de l’infrastructure. Une fois qu’un périphérique réseau est compromis, les attaquants peuvent surveiller, modifier ou détourner le trafic à travers l’ensemble du réseau, ce qui en fait une menace particulièrement grave pour les organisations.

Les secteurs les plus touchés incluent les télécommunications, les services financiers, les gouvernements et les infrastructures critiques, où les équipements Cisco IOS XE sont largement déployés pour leur fiabilité et leurs fonctionnalités avancées.

Impact sur les organisations

Cycle de ré-exploitation persistant

Depuis juillet 2025, les évaluations de l’ASD indiquent que plus de 400 dispositifs australiens ont potentiellement été compromis avec BADCANDY, démontrant l’ampleur et la persistance de cette campagne d’exploitation. Une fois que les acteurs de la menace obtiennent un accès initial à travers l’exploitation de CVE-2023-20198, ils récoltent fréquemment les informations d’identification du compte ou établissent des mécanismes de persistance alternatifs qui survivent même après la suppression de l’implant BADCANDY.

Conséquences à long terme

Cela crée des scénarios où les attaquants conservent l’accès aux réseaux compromis longtemps après l’élimination du vecteur d’infection initial, permettant un mouvement latéral, l’exfiltration de données et des opérations d’espionnage à long terme.

L’impact de ces compromissions est profond et diversifié :

  • Perte de confidentialité et d’intégrité des données
  • Perturbation potentielle des services réseau critiques
  • Coûts associés à la détection, à la remédiation et à la récupération
  • Dommages réputationnels pour les organisations affectées
  • Risques réglementaires, notamment dans le cadre du RGPD

Cas concrets d’impact en France

Bien que les chiffres officiels français ne soient pas encore disponibles, des cas similaires ont été observés dans des organisations françaises utilisant des équipements réseau Cisco. Une entreprise de services financiers a rapporté une compromission qui a permis aux attaquants d’accéder à des données client sensibles pendant plusieurs mois avant d’être détectée. Le coût de cette incident, incluant la remédiation, les amendes potentielles et la perte de confiance des clients, a été estimé à plusieurs millions d’euros.

Mesures de détection et de remédiation

Indicateurs de compromission

Les autorités australiennes de cybersécurité mènent des campagnes de notification aux victimes par l’intermédiaire des fournisseurs de services, incitant les organisations à mettre en œuvre immédiatement des mesures de protection. Les actions critiques incluent l’examen des configurations en cours d’exécution pour les comptes de privilège 15 avec des noms suspects tels que “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager” ou des chaînes de caractères aléatoires, et la suppression de tout compte non autorisé découvert.

Les organisations doivent également examiner les configurations à la recherche d’interfaces de tunnel inconnues et consulter les journaux de comptabilité de commandes TACACS+ AAA pour rechercher des preuves de modifications de configuration non autorisées.

Processus de remédiation recommandé

La mesure de protection la plus essentielle reste l’application du correctif officiel de Cisco pour CVE-2023-20198, disponible à travers l’avis de sécurité de l’entreprise pour plusieurs vulnérabilités dans les fonctionnalités Web UI du logiciel Cisco IOS XE.

Bien que le redémarrage des dispositifs compromis supprimera l’implant BADCANDY, cette action seule fournit une protection insuffisante sans correctif et durcissement appropriés. Les organisations doivent désactiver la fonctionnalité du serveur HTTP si elle n’est pas opérationnellement requise et mettre en œuvre des stratégies de sécurité complètes pour les périphériques de bordure en suivant le guide de durcissement d’IOS XE de Cisco.

Stratégies de détection avancée

Au-delà des mesures de base, les équipes de sécurité française doivent mettre en place des stratégies de détection plus avancées pour identifier les tentatives d’exploitation de cette faille, y compris :

  • Surveillance des journaux d’accès à l’interface web
  • Détection d’anomalies dans le trafic réseau sortant
  • Surveillance des processus suspects sur les dispositifs
  • Analyse des paquets réseau pour les signatures d’exploitation

Stratégies de prévention et de mitigation

Durcissement des équipements Cisco IOS XE

La baisse constante de plus de 400 dispositifs compromis à fin 2023 à moins de 200 en 2025 démontre des progrès, cependant les fluctuations persistantes dans les données de compromission indiquent une activité de ré-exploitation en cours. En tant que périphériques réseau représentant des composants critiques fournissant une sécurité périmétrale, les organisations doivent donner la priorité à la remédiation immédiate pour éliminer ce vecteur de persistance qui continue de menacer les réseaux français et les infrastructures mondiales.

Les mesures de durcissement essentielles incluent :

  • Désactiver les services inutiles
  • Implémenter le contrôle d’accès basé sur les rôles
  • Configurer l’authentification forte
  • Mettre à jour régulièrement les logiciels
  • Surveiller les configurations et les journaux

Politiques de sécurité réseau

Les organisations doivent élaborer et mettre en œuvre des politiques de sécurité réseau robustes qui incluent :

  • Segmentation du réseau pour limiter la propagation des menaces
  • Contrôle d’accès strict aux interfaces de gestion
  • Surveillance continue des journaux de sécurité
  • Tests de pénétration réguliers des équipements réseau
  • Plans de réponse aux incidents bien définis

Conformité réglementaire française

Dans le contexte français, les organisations doivent s’assurer que leurs mesures de sécurité respectent les exigences du RGPD et de la loi pour une République numérique. Cela inclut notamment :

  • Notification des violations de données dans les 72 heures
  • Mise en œuvre de mesures de sécurité appropriées
  • Déléguation d’un délégué à la protection des données (DPO)
  • Documentation des procédures de gestion des risques

Tendances futures et recommandations

Évolution des menaces

Le déclin constant du nombre de dispositifs compromis en Australie, passé de plus de 400 à la fin de 2023 à moins de 200 en 2025, montre que les mesures de sécurité efficaces peuvent réduire l’impact de cette menace. Cependant, les fluctuations persistantes dans les données de compromission indiquent une activité de ré-exploitation en cours.

Nous observons une tendance inquiétante vers l’automatisation des campagnes d’exploitation, où les attaquants utilisent des scripts pour scanner et compromettre de grands nombres d’équipements en peu de temps. Cette automatisation augmente considérablement la vitesse de propagation de la menace et réduit la fenêtre de temps disponible pour la détection et la réponse.

Recommandations pour les organisations françaises

Pour faire face à cette menace persistante, nous recommandons aux organisations françaises de mettre en œuvre les actions suivantes :

  1. Auditer immédiatement les équipements Cisco IOS XE

    • Vérifier les versions logicielles
    • Examiner les configurations existantes
    • Rechercher les signes d’activité suspecte

  2. Appliquer les correctifs disponibles

    • Mettre à jour vers les versions non affectées
    • Implémenter les configurations de sécurité recommandées
    • Désactiver les services non nécessaires

  3. Renforcer les capacités de détection

    • Mettre en place une surveillance avancée
    • Configurer les alertes pour les événements suspects
    • Participer aux programmes de partage d’informations

  4. Préparer un plan de réponse aux incidents

    • Définir des rôles et responsabilités clairs
    • Établir des procédures de communication
    • Pratiquer les scénarios de réponse aux incidents

Tableau des actions prioritaires

PrioritéActionResponsableÉchéance
CritiqueAppliquer les correctifs CiscoÉquipe systèmeImmédiat
HauteAuditer les configurations réseauÉquipe sécurité7 jours
MoyenneMettre à jour les politiques de sécuritéDirection sécurité30 jours
FaibleParticiper aux programmes de partage d’informationsResponsable cybersécurité90 jours

Conclusion : Agir contre la faille Cisco IOS XE

La campagne d’exploitation de la faille Cisco IOS XE par l’implant BADCANDY représente une menace persistante et évolutive pour les organisations françaises et européennes. Bien que des progrès aient été réalisés dans la réduction du nombre de dispositifs compromis, la nature systématique et adaptative de cette menace nécessite une vigilance constante et une action proactive de la part des équipes de sécurité.

En adoptant une approche proactive qui combine la mise à jour rapide des vulnérabilités, le durcissement des équipements réseau, et une surveillance avancée, les organisations peuvent considérablement réduire leur exposition à cette menace. La faille Cisco IOS XE nous rappelle l’importance cruciale de la gestion des vulnérabilités dans le paysage de cybersécurité actuel, où les équipements réseau constituent des cibles de premier plan pour les acteurs de la menace.

Il est impératif que les organisations traitent cette menace avec la plus grande urgence et mettent en œuvre les mesures de protection recommandées. Dans un environnement où les cybermenaces évoluent constamment, la préparation et la réactivité sont les clés pour protéger les infrastructures critiques et les données sensibles.