De Australische overheid heeft een waarschuwing afgegeven voor Cisco-routers en switches die zijn geïnfecteerd met de "Badcandy" malware. Deze malware is een webshell die aanvallers in staat stelt om toegang te behouden tot de gecompromitteerde apparaten. De infectie vindt plaats via een kwetsbaarheid in Cisco IOS XE, aangeduid als CVE-2023-20198, die vervolgens door de aanvallers wordt gepatcht. Cisco IOS XE is een besturingssysteem voor switches en routers en wordt gezien als een verbeterde versie van Cisco's IOS. De kwetsbaarheid bevindt zich in de webinterface van IOS XE en stelt een ongeauthenticeerde aanvaller in staat om een account met 'privilege 15' aan te maken, waarmee volledige controle over het systeem mogelijk is. Zowel fysieke als virtuele apparaten die IOS XE draaien zijn kwetsbaar. De impact van CVE-2023-20198 is beoordeeld met een maximale score van 10.0. Cisco heeft in oktober 2023 beveiligingsupdates uitgebracht om het probleem aan te pakken.

In juli meldde het Australische Cyber Security Centre dat er in Australië ongeveer vierhonderd Cisco-routers met Badcandy waren besmet. Dit aantal is inmiddels gedaald tot iets meer dan honderdvijftig, maar de overheid benadrukt dat waakzaamheid geboden blijft. Aanvallers installeren na toegang via CVE-2023-20198 een tijdelijke patch om de kwetsbaarheid te verhelpen. De Badcandy-malware overleeft een herstart van het apparaat niet, maar als aanvallers inloggegevens hebben verkregen of een andere manier van toegang hebben, kunnen ze controle behouden. De Australische overheid adviseert organisaties om de beveiligingsupdate van twee jaar geleden te installeren en hun apparaten te controleren op tekenen van aanvallen. Gecompromitteerde organisaties in Australië zijn door het Cyber Security Centre geïnformeerd. Eerder dit jaar meldde de Canadese overheid dat een telecombedrijf via hetzelfde Cisco-lek was gehackt.