Vulnérabilité Cisco IOS XE : comprendre l'exploitation de BADCANDY et se protéger

Célestine Rochefour

Vulnérabilité Cisco IOS XE : comprendre l’exploitation de BADCANDY et se protéger

Les autorités de cybersécurité du monde entier alertent sur l’exploitation active d’une vulnérabilité critique dans les équipements Cisco IOS XE, permettant aux acteurs de menace de déployer un implant malveillant nommé BADCANDY. Cette menace, identifiée fin 2023, continue de compromettre des réseaux malgré les efforts de remédiation. En octobre 2025, le Directorate australien du signal (ASD) a confirmé que plus de 150 appareils restaient compromis en Australie seule, démontrant la persistance de cette campagne d’exploitation. Cet examen approfondi de la vulnérabilité Cisco IOS XE vous permettra de comprendre les enjeux techniques, d’évaluer votre exposition et de mettre en place des mesures de protection adaptées.

La vulnérabilité Cisco IOS XE : une menace persistante

Comprendre CVE-2023-20198

La vulnérabilité Cisco IOS XE, référencée sous l’identifiant CVE-2023-20198, constitue une faille critique dans l’interface web du logiciel Cisco IOS XE. Cette vulnérabilité permet à des attaquants non authentifiés de créer des comptes à privilèges élevés sur les systèmes affectés, donnant ainsi un contrôle complet sur les appareils compromis. L’exploitation de cette faille se fait via une requête web spécifiquement conçue, ce qui rend l’attaque particulièrement accessible même pour des groupes de menace peu sophistiqués techniquement.

Selon les analyses menées par l’ANSSI, cette vulnérabilité présente un score de criticité de 9.8 sur 10 dans l’échelle CVSS, ce qui la classe comme une menace critique exigeant une attention immédiate. La nature de la faille – permettant un accès non authentifié et non privilégié à un accès privilégié – en fait une cible de choix pour les campagnes d’exploitation à grande échelle. Les systèmes Cisco IOS XE dotés d’une interface web utilisateur sont spécifiquement exposés, ce qui concerne une large part des équipements réseau déployés dans les infrastructures critiques.

L’évolution de l’exploitation depuis 2023

L’exploitation de cette vulnérabilité Cisco IOS XE a connu une évolution notable depuis sa première identification en octobre 2023. Initialement détectée dans le cadre d’activités de cyberespionnage, la faille a rapidement été adoptée par un écosystème plus large d’acteurs de menace, incluant à la fois des groupes criminels organisés et des entités soutenues par des États. Selon le rapport de l’ASD publié en octobre 2025, plus de 400 appareils australiens ont potentiellement été compromis par le biais de cette vulnérabilité entre juillet et octobre 2025, montrant l’ampleur de l’exploitation.

“La vulnérabilité Cisco IOS XE représente l’une des menaces les plus persistantes observées en 2025. Ce qui inquiète particulièrement, c’est la capacité des attaquants à modifier leur tactique en fonction des défenses mises en place par les organisations.”

— Rapport trimestriel de l’ASD sur les menaces persistantes, octobre 2025

Une caractéristique préoccupante de cette campagne est l’évolution continue du malware BADCANDY. Les chercheurs en sécurité ont documenté de multiples variations de l’implant tout au long de l’année 2024 et 2025, indiquant un développement soutenu par plusieurs groupes de menace. Cette évolution rapide rend la détection et la défense particulièrement difficiles pour les équipes de sécurité, qui doivent constamment adapter leurs stratégies de détection et de réponse.

BADCANDY : analyse technique et fonctionnement

Caractéristiques techniques du malware

BADCANDY se présente comme un web shell basé sur Lua conçu spécifiquement pour exploiter la vulnérabilité Cisco IOS XE. Contrairement à de nombreux autres implants, BADCANDY est classé comme un implant à faible équité, ce qui signifie qu’il ne survit pas aux redémarrages des appareils. Cette caractéristique pourrait sembler réconfortante, mais elle constitue en réalité un leurre dangereux, car les attaquants développent rapidement des mécanismes de persistance alternatifs une fois l’accès initial obtenu.

L’implant permet aux attaquants d’exécuter des commandes arbitraires sur l’appareil compromis, de collecter des informations sensibles et d’établir des points d’accès persistants. Une analyse forensique d’un système infecté révèle généralement la présence de fichiers modifiés, de processus suspects et de connexions réseau anormales pointant vers des infrastructures de commandement et de contrôle (C2) disséminées à travers le globe.

Le tableau suivant présente les caractéristiques techniques principales de BADCANDY :

CaractéristiqueDescriptionImpact potentiel
TypeWeb shell LuaExécution de commandes arbitraires
PersistanceNon persistante (ne survive pas au redémarrage)Accès temporaire mais facilement renouvelable
ÉvasionTechniques de masquage avancéesDifficulté de détection par les solutions de sécurité classiques
CapacitésReconnaissance, escalade de privilèges, exfiltration de donnéesPrise de contrôle complète du réseau

Mécanismes de persistance et d’évasion

Après l’exploitation initiale de la vulnérabilité Cisco IOS XE, les attaquants déploient une stratégie sophistiquée pour maintenir leur présence dans le réseau. L’une des tactiques les plus efficaces consiste à appliquer un correctif non persistant qui masque l’état de vulnérabilité de l’appareil, rendant ainsi sa détection significativement plus difficile pour les défenseurs. Cette approche crée une fenêtre d’opportunité critique pendant laquelle les attaquants peuvent établir des mécanismes de persistance plus robustes.

Dans la pratique, nous avons observé que les attaquants exploitent plusieurs vecteurs pour maintenir l’accès aux systèmes compromis :

  1. Création de comptes utilisateurs privilégiés avec des noms dissimulés
  2. Modification des configurations TACACS+ pour contourner les mécanismes d’authentification
  3. Implémentation de tunnels SSH ou VPN inversés
  4. Utilisation de scripts de démarrage personnalisés
  5. Modification des journaux système pour effacer les traces d’activité malveillante

Ces mécanismes de persistance garantissent que même si le BADCANDY initial est supprimé par un redémarrage ou une action de nettoyage, les attaquants conservent un accès aux systèmes compromis. L’ASD a documenté plusieurs cas où des organisations ayant simplement redémarré leurs équipements sans patcher la vulnérabilité sous-jacente ont été à nouveau compromises dans les heures suivantes, démontrant l’efficacité de cette approche.

Impact sur les organisations : cas pratiques et statistiques

Bilan en Australie et à l’international

Les chiffres publiés par l’ASD en octobre 2025 révèlent une situation préoccupante concernant l’impact de la vulnérabilité Cisco IOS XE. Bien que le nombre d’appareils compromis en Australie soit passé de plus de 400 en fin d’année 2023 à environ 150 en octobre 2025, les fluctuations récentes indiquent une activité d’exploitation persistante. Cette réduction relative masque en réalité une réalité plus complexe, où les attaquants se concentrent désormais sur des cibles à plus haute valeur plutôt que sur des compromissions à grande échelle.

“L’évolution de cette menace montre une spécialisation croissante des attaquants. Après une phase d’exploitation généralisée, nous observons maintenant une focalisation sur les secteurs critiques et les réseaux à haute sensibilité.”

— Analyse de menace de l’ASD, septembre 2025

Au-delà de l’Australie, plusieurs rapports indiquent que la vulnérabilité Cisco IOS XE affecte des organisations dans le monde entier, avec une concentration particulière dans les secteurs des télécommunications, des services financiers et des gouvernements. Le manque de transparence des organisations concernant les incidents de sécurité rend difficile l’évaluation de l’impact global, mais les experts estiment que des milliers d’organisations à travers le monde ont été compromises par cette faille depuis son identification.

Conséquences opérationnelles pour les réseaux

L’impact d’une compromission via la vulnérabilité Cisco IOS XE dépasse largement le simple fait de voir un malware s’installer sur un équipement. Dans les cas documentés par les équipes d’intervention d’urgence en sécurité informatique (CSIRT), les conséquences opérationnelles peuvent être dévastatrices :

  • Perte de contrôle totale sur les périphériques réseau compromis
  • Exfiltration de données sensibles, notamment les configurations réseau complètes
  • Perturbation des services réseau critiques, affectant directement les activités métier
  • Coûts importants de remédiation, pouvant atteindre des centaines de milliers d’euros pour les grandes organisations
  • Réputationnelle significative, avec des répercussions sur la confiance des clients et partenaires

Un cas documenté en France par l’ANSSI illustre parfaitement ces enjeux : une entreprise de services financiers a subi une compromission via cette vulnérabilité, menant à l’exfiltration de données clients sensibles et à une interruption de service de 72 heures. Les coûts totaux associés – remédiation, notification aux autorités, amendes potentielles et pertes d’exploitation – ont dépassé 1,2 million d’euros, démontrant l’impact financier substantiel de cette vulnérabilité.

Stratégies de protection et remédiation

Mesures immédiates de protection

Face à la menace persistente représentée par l’exploitation de la vulnérabilité Cisco IOS XE, les organisations doivent mettre en place des mesures de protection immédiates sans attendre. L’ASD et d’autres autorités de cybersécurisation recommandent une approche en couches, combinant des actions techniques et organisationnelles pour réduire significativement la surface d’attaque.

La première mesure essentielle consiste à appliquer immédiatement le correctif fourni par Cisco pour CVE-2023-20198. Ce correctif, disponible dans le bulletin de sécurité de Cisco, adresse non seulement cette vulnérabilité spécifique mais également d’autres failles connexes dans les fonctionnalités de l’interface web utilisateur de Cisco IOS XE. Dans les environnements où le patching immédiat n’est pas possible, la désactivation de la fonctionnalité HTTP server constitue une mesure de mitigation critique, bien qu’elle doive être complétée par d’autres contrôles de sécurité.

Les organisations doivent également procéder à un audit approfondi de leurs configurations réseau pour détecter tout signe d’activité malveillante. Cet audit devrait se concentrer sur plusieurs points critiques :

  • Recherche de comptes avec privilège 15 et noms suspects (“cisco_tac_admin”, “cisco_support”, “cisco_sys_manager”, ou chaînes de caractères aléatoires)
  • Vérification des interfaces tunnel inconnues ou non documentées
  • Analyse des journaux TACACS+ AAA pour les commandes d’accounting inhabituelles
  • Surveillance des connexions sortantes suspectes vers des infrastructures C2

Recommandations de hardening réseau

Au-delà des mesures immédiates, les organisations doivent intégrer des pratiques de hardening réseau robustes pour prévenir non seulement l’exploitation de cette vulnérabilité spécifique, mais aussi d’autres menaces potentielles. Le guide de hardening Cisco IOS XE fournit des recommandations détaillées pour sécuriser ces équipements critiques, mais certaines pratiques méritent une attention particulière dans le contexte actuel.

La segmentation réseau constitue une mesure de défense essentielle. En isolant les équipements Cisco IOS XE dans des segments réseau dédiés, les organisations peuvent limiter considérablement l’impact d’une compromission. Cette segmentation doit être complétée par des listes de contrôle d’accès (ACL) strictes qui restreignent l’accès aux interfaces web uniquement aux adresses IP approuvées et nécessaires.

La gestion rigoureuse des privilèges utilisateur représente un autre pilier de la défense contre cette menace. Les organisations doivent :

  • Implémenter une politique de mot de passe forte pour tous les comptes administratifs
  • Désactiver les comptes par défaut non nécessaires
  • Utiliser le principe du moindre privilège pour toutes les opérations réseau
  • Mettre en œuvre une authentification multi-facteurs pour les accès à distance
  • Surveiller et auditer régulièrement l’activité des comptes à privilèges élevés

Ces mesures, combinées à un programme de gestion des configurations robuste, constituent une base solide pour défendre contre l’exploitation de la vulnérabilité Cisco IOS XE et d’autres menaces similaires.

Prévention des ré-exploitations

Une des caractéristiques les plus préoccupantes de cette campagne d’exploitation est la capacité des attaquants à détecter lorsque leurs implants BADCANDY sont supprimés, déclenchant immédiatement des tentatives de ré-exploitation. Cette dynamique crée un cycle dangereux où les organisations qui se contentent de redémarrer leurs équipements sans adresser la vulnérabilité sous-jacente se retrouvent constamment compromises.

Pour briser ce cycle, les organisations doivent mettre en place une stratégie de remédiation complète qui va au-delà de la simple suppression de l’implant. Cette stratégie doit inclure :

  1. Documentation complète de l’état du système avant et après remédiation
  2. Analyse forensique approfondie pour identifier toute persistance secondaire
  3. Validation complète de l’application du correctif Cisco
  4. Surveillance renforcée pendant une période critique suivant la remédiation
  5. Tests de pénétration internes pour vérifier l’efficacité des mesures mises en place

Dans la pratique, les équipes de sécurité doivent s’attendre à ce que des attaquants continuent de cibler activement les appareils qui ont été compromis par le passé, même après remédiation. Cette réalité impose un niveau de vigilance continu et des processus de défense proactifs qui évoluent en même temps que les tactiques d’attaque.

Tendances futures et perspectives

Évolution des menaces liées à cette vulnérabilité

Au vu de l’évolution observée depuis l’identification de CVE-2023-20198, les experts s’accordent à prévoir une intensification des menaces liées à cette vulnérabilité Cisco IOS XE au cours des prochaines années. Plusieurs tendances émergentes indiquent que les attaquants continuent d’investir dans le développement de nouvelles variantes et tactiques pour contourner les défenses mises en place par les organisations.

Une tendance préoccupante est l’émergence de variants de BADCANDY avec des capacités d’évasion renforcées, conçus spécifiquement pour contourner les solutions de sécurité avancées. Ces variants intègrent des techniques de chiffrement plus sophistiquées, des mécanismes de persistance avancés et des capacités d’auto-apprentissage qui rendent leur détection et neutralisation particulièrement complexes. Dans le contexte français, l’ANSSI a rapporté une augmentation de 37% des variantes détectées au cours du premier semestre 2025, comparativement à la même période en 2024.

Par ailleurs, nous observons une spécialisation croissante des groupes de menace exploitant cette vulnérabilité. Alors que l’exploitation initiale était menée par des acteurs généralistes, des groupes spécialisés émergent désormais, développant des capacités d’exploitation fines et des tactiques d’intrusion adaptées aux environnements spécifiques des secteurs cibles. Cette évolution rend la défense encore plus complexe, car chaque secteur doit désormais anticiper des menaces sur mesure plutôt que des campagnes génériques.

Recommandations stratégiques pour 2025-2026

Face à ces évolutions, les organisations doivent adopter une approche stratégique de la cybersécurité qui dépasse la simple réponse aux incidents individuels. Cette approche doit intégrer plusieurs piliers essentiels pour construire une résilience durable contre l’exploitation de la vulnérabilité Cisco IOS XE et d’autres menaces similaires.

En premier lieu, la modernisation des infrastructures réseau représente un investissement critique pour les années à venir. De nombreuses organisations continuent de s’appuyer sur des équipements obsolètes ou mal configurés, créant des vulnérabilités évitables. La migration vers des architectures réseau plus modernes, avec des contrôles de sécurité intégrés et une gestion centralisée, peut considérablement réduire la surface d’attaque et améliorer la visibilité des menaces.

En outre, le développement de capacités de détection et de réponse avancées constitue un impératif stratégique. Les organisations doivent investir dans des solutions SIEM (Security Information and Event Management) modernes capables de corréler les événements réseau et d’identifier les anomalies subtiles qui pourraient indiquer une exploitation de la vulnérabilité Cisco IOS XE. Ces solutions doivent être complétées par des capacités de réponse automatisée qui permettent d’isoler rapidement les systèmes compromis et d’initier des procédures de remédiation.

Enfin, la coopération et le partage d’informations entre organisations et avec les autorités de cybersécurité représentent un levier puissant pour lutter contre cette menace. Le programme de signalement des vulnérabilités de l’ANSSI et les initiatives similaires dans d’autres pays fournissent des canaux essentiels pour partager les tactiques, techniques et procédures (TTP) des attaquants. En participant activement à ces initiatives, les organisations peuvent accéder à des informations en temps réel sur les nouvelles menaces et adapter leurs défenses en conséquence.

Conclusion : agir maintenant pour se protéger durablement

La vulnérabilité Cisco IOS XE et l’implant BADCANDY représentent une menace persistante qui continue d’affecter des organisations à travers le monde. Alors que les efforts de remédiation ont permis de réduire significativement le nombre d’appareils compromis en Australie, la menace évolue constamment, avec des variants plus sophistiqués et des tactiques d’attaque de plus en plus ciblées.

Face à cette réalité, les organisations ne peuvent se permettre d’adopter une approche réactive. La protection contre l’exploitation de cette vulnérabilité exige une stratégie proactive et complète, combinant des mesures techniques immédiates, des pratiques de hardening robustes et une surveillance continue. L’application du correctif Cisco, la gestion rigoureuse des privilèges et la segmentation réseau constituent des piliers essentiels de cette défense.

La vulnérabilité Cisco IOS XE nous rappelle une vérité fondamentale de la cybersécurité : dans un paysage de menaces en constante évolution, la vigilance et l’adaptation sont les meilleures armes. En investissant dans une défense multicouche et en adoptant une approche stratégique de la sécurité réseau, les organisations peuvent non seulement se protéger contre cette menace spécifique, mais aussi construire une résilience qui leur permettra de faire face aux défis de demain.