Security

Australia Peringatkan Serangan BadCandy di Perangkat Cisco yang Belum Dipatch

4 minutes ago
2 minutes read

Pemerintah Australia melalui Australian Signals Directorate (ASD) memperingatkan adanya gelombang serangan siber aktif terhadap perangkat Cisco IOS XE yang belum diperbarui (unpatched), menggunakan webshell berbahaya bernama BadCandy.

⚠️ Celah yang Dieksploitasi: CVE-2023-20198

Serangan ini menargetkan kerentanan kritis CVE-2023-20198, yang memungkinkan penyerang jarak jauh tanpa autentikasi (unauthenticated attacker) untuk:

  • Membuat akun admin lokal melalui antarmuka web (Web UI),
  • Mengambil alih kendali penuh perangkat (privilege escalation hingga root).

Celah ini pertama kali ditemukan dan diperbaiki oleh Cisco pada Oktober 2023, namun dua minggu setelah patch dirilis, kode eksploit publik beredar, menyebabkan gelombang eksploitasi besar-besaran terhadap perangkat yang masih terekspos ke internet.

🧬 Apa Itu BadCandy?

BadCandy adalah webshell berbasis Lua script yang ditanamkan pada perangkat yang rentan.
Fungsi utamanya adalah:

  • Memberikan akses jarak jauh penuh kepada penyerang,
  • Memungkinkan eksekusi perintah dengan hak istimewa root,
  • Mempertahankan kontrol atas perangkat meskipun sistem keamanan diaktifkan.

Namun, webshell ini akan terhapus saat perangkat di-reboot.
Sayangnya, karena perangkat yang belum dipatch tetap rentan, penyerang dapat dengan mudah menginfeksinya kembali setiap kali web interface diaktifkan.

🇦🇺 Situasi di Australia: 400 Perangkat Terinfeksi

Menurut laporan ASD:

“Sejak Juli 2025, lebih dari 400 perangkat Cisco di Australia kemungkinan telah terinfeksi oleh BadCandy. Hingga akhir Oktober 2025, lebih dari 150 perangkat masih terkompromi.

Walau jumlah infeksi mulai menurun, ASD mencatat bahwa penyerang terus memantau dan mengeksploitasi ulang perangkat yang sama, bahkan setelah korban diberi peringatan.

🕵️‍♂️ Diduga Dilakukan oleh Aktor Negara

ASD menduga serangan ini bukan dilakukan oleh peretas acak.
Analisis menunjukkan kesamaan taktik dan infrastruktur dengan grup siber Tiongkok “Salt Typhoon”, yang sebelumnya terlibat dalam serangan terhadap penyedia telekomunikasi besar di AS dan Kanada.

Meski BadCandy dapat digunakan oleh siapa pun, lonjakan aktivitas terkini sangat mirip dengan operasi siber yang disponsori negara.

🔧 Tindakan dari Pemerintah dan ISP

ASD kini:

  • Mengirimkan notifikasi resmi ke pemilik perangkat yang terinfeksi,
  • Memberikan panduan patching dan hardening sistem,
  • Bekerja sama dengan penyedia layanan internet (ISP) untuk menghubungi korban yang tidak dapat diidentifikasi langsung.

🛡️ Rekomendasi untuk Administrator Cisco IOS XE

Bagi administrator jaringan di seluruh dunia — tidak hanya di Australia — disarankan untuk:

  1. Segera menerapkan patch keamanan Cisco untuk CVE-2023-20198,
  2. Menonaktifkan Web UI jika tidak benar-benar diperlukan,
  3. Memeriksa sistem untuk indikasi keberadaan file atau proses “BadCandy”,
  4. Mengikuti panduan hardening resmi Cisco untuk IOS XE,
  5. Memantau aktivitas login mencurigakan dan koneksi outbound tidak dikenal.

🔍 Kesimpulan

Serangan BadCandy membuktikan bahwa banyak perangkat Cisco masih belum dipatch meski celahnya telah diketahui selama dua tahun.
Kelemahan pengelolaan patch dan paparan antarmuka web menjadikan perangkat jaringan kritis ini target utama bagi aktor negara dan geng ransomware.

Sumber: Australian Signals Directorate (ASD), Cisco

Tags
4 minutes ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button