442/68 (IT) ประจำวันอังคารที่ 4 พฤศจิกายน 2568
Australian Signals Directorate (ASD) ออกประกาศเตือนถึงการโจมตีที่กำลังเกิดขึ้นอย่างต่อเนื่อง โดยมีการใช้ช่องโหว่ CVE-2023-20198 ในอุปกรณ์ Cisco IOS XE เพื่อฝังมัลแวร์ชนิด Webshell ที่เรียกว่า BadCandy ช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้ในระดับผู้ดูแลระบบ (Administrator) ช่องโหว่นี้มีคะแนนความรุนแรงสูงสุด CVSS 10.0 และส่งผลกระทบต่อทั้งอุปกรณ์จริงและอุปกรณ์เสมือน (Virtual Devices) ที่เปิดใช้งาน Web User Interface (Web UI) ผ่านโปรโตคอล HTTP หรือ HTTPS
รายงานระบุว่า BadCandy Webshell ถูกพบครั้งแรกตั้งแต่เดือนตุลาคม 2023 และยังคงมีการใช้งานอย่างต่อเนื่องตลอดปี 2024–2025 โดยตั้งแต่เดือนกรกฎาคม 2025 ทางการออสเตรเลียตรวจพบอุปกรณ์กว่า 400 เครื่อง ที่อาจถูกฝัง BadCandy และเดือนตุลาคม 2025 ยังพบอุปกรณ์กว่า 150 เครื่องในออสเตรเลีย ที่ยังถูกบุกรุกและเปิดให้เข้าถึง โดยมัลแวร์ BadCandy มีพื้นฐานการทำงานด้วยภาษา Lua และแม้จะไม่คงอยู่หลังการรีบูตระบบ แต่ผู้โจมตีอาจยังคงเข้าถึงอุปกรณ์ได้ผ่านข้อมูลประจำตัว (Credentials) ที่ถูกขโมย
ASD เตือนเพิ่มเติมว่าผู้โจมตีสามารถตรวจจับได้เมื่อ Webshell ถูกลบออก และจะดำเนินการโจมตีซ้ำทันทีหากอุปกรณ์ยังไม่ได้รับการแพตช์ จึงแนะนำให้ผู้ดูแลระบบเร่งดำเนินการอัปเดตแพตช์ ปิดการใช้งาน HTTP Server Feature และปฏิบัติตามแนวทางจาก Cisco IOS XE Hardening Guide เพื่อลดความเสี่ยงในการถูกบุกรุกซ้ำ ทั้งนี้ ASD ได้ประสานแจ้งหน่วยงานที่ได้รับผลกระทบ พร้อมจัดทำแนวทางการตอบสนองเหตุการณ์ (Incident Response) และคำแนะนำด้านการป้องกัน
