两年前思科公布的网络设备操作系统IOS XE高危漏洞CVE-2023-20198，近期有安全机构发出警告，相关漏洞利用活动仍在持续。

10月31日，澳大利亚网络安全中心（ACSC）发布预警，黑客正试图在思科IOS XE设备上植入名为BadCandy的恶意程序。相关攻击行动最早可追溯至2023年10月，但在2024至2025年再次出现。受害设备的共同特点是管理员尚未修补CVE-2023-20198。根据ACSC今年7月的监测，超过400台设备曾受影响，截至10月下旬，仍有超过150台设备被BadCandy渗透。由于相关活动很可能由国家级黑客组织实施，ACSC敦促企业组织立即采取措施应对。

关于BadCandy恶意程序，ACSC指出其为使用Lua语言编写的Web Shell。一旦攻击者成功在IOS XE设备上部署该程序，还会利用临时补丁掩盖设备仍存在CVE-2023-20198漏洞的状态。

ACSC表示，若受害设备重启，BadCandy会被清除，但如果攻击者已建立其他访问通道，或窃取了相关凭证，仍可继续控制设备。因此，企业除了应尽快应用思科提供的补丁外，还应限制可访问网页界面的源地址。

值得注意的是，ACSC特别提到可能存在重复感染的情况。他们指出，两年前漏洞大规模利用时，澳大利亚有超过400台设备受害，到今年7月下旬已降至200台以下，但观察到数量出现波动，原因是攻击者可能再次利用漏洞对已感染设备进行二次入侵，其中部分为已被通知的受害单位。他们认为，攻击者有能力检测BadCandy是否被清除，并重新利用漏洞进行感染。

本质上，CVE-2023-20198存在于IOS XE的网页界面中，攻击者一旦成功利用，即可获得管理员权限完全控制设备。思科公布该漏洞后，罕见出现攻击者在入侵后主动修补的案例。去年中国黑客组织Salt Typhoon大规模攻击美国电信运营商时，也被传出利用了该漏洞。