CVE-2023-25717 Erkennung: Neue Malware-Botnet AndoryuBot nutzt RCE-Schwachstelle im Ruckus Wireless Admin Panel aus

[post-views]
Mai 12, 2023 · 3 min zu lesen
CVE-2023-25717 Erkennung: Neue Malware-Botnet AndoryuBot nutzt RCE-Schwachstelle im Ruckus Wireless Admin Panel aus

Ein neues DDoS-Botnetz namens AndoryuBot stellt eine Bedrohung für die Ruckus Wireless Admin-Panels dar, indem es eine neu gepatchte Schwachstelle mit kritischem Schweregrad ausnutzt, die als CVE-2023-25717 verfolgt wird und einen CVSS-Basiswert von 9,8 erreicht. Die Ausnutzung der Schwachstelle kann potenziell zu einer Remote Code Execution (RCE) und einer vollständigen Kompromittierung der drahtlosen Zugangspunkte (AP) führen.

Erkennung von Ausnutzungsversuchen der CVE-2023-25717

Die proaktive Erkennung der Ausnutzung von Schwachstellen bleibt eines der wichtigsten Inhaltsprioritäten seit 2021 aufgrund einer wachsenden Anzahl von entdeckten CVEs, die weit verbreitete Softwarelösungen kompromittieren und aktiv in realen Angriffen genutzt werden.

Da CVE-2023-25717 aktiv ausgenutzt wird, um Ruckus Wireless AP-Geräte in das Andoryu-Botnetz einzubeziehen, benötigen Cyberverteidiger eine verlässliche Quelle für Erkennungsinhalte, um die Infektion rechtzeitig zu identifizieren und proaktiv zu reagieren. Das SOC Prime-Team hat kürzlich eine neue Sigma-Regel veröffentlicht, die mögliche Remote-Code-Ausführungsversuche identifiziert, um intern laterale Bewegungen durchzuführen und zusätzliche Persistenzpunkte innerhalb der Organisation zu etablieren:

Möglicher Versuch der Ausnutzung von Ruckus Wireless AP CVE-2023-25717 (über Proxy)

Diese Sigma-Regel steht im Einklang mit dem MITRE ATT&CK v12-Framework, das die Taktik der Lateralen Bewegung mit der entsprechenden Ausnutzung der Techniken für Remote-Dienste (T1210) angeht und kann über 18 führende SIEM-, EDR-, XDR- und BDP-Lösungen hinweg angewendet werden.

Um den Gegnern voraus zu sein und stets über aufkommende Bedrohungen informiert zu bleiben, kuratiert die SOC Prime Platform eine Reihe von Erkennungsinhalten, die sich an die Ausnutzungsversuche der aktuellsten Schwachstellen richten. Klicken Sie einfach auf die Schaltfläche ‚Erkennungen erkunden‘ und tauchen Sie sofort in die relevanten Sigma-Regeln mit zugehörigen Metadaten, einschließlich ATT&CK- und CTI-Referenzen, ein.

Erkennungen erkunden

CVE-2023-25717 Beschreibung

Das neuartige Malware-Botnetz namens AndoryuBot, das erstmals im Februar 2023 im bösartigen Umfeld bekannt wurde, ist erneut aufgetaucht, um Ruckus-Geräte anzugreifen. In den seit April 2023 beobachteten bösartigen Kampagnen nutzen Hacker die kürzlich gepatchte RCE-Schwachstelle namens CVE-2023-25717 aus, die alle Ruckus Wireless Admin-Panels v.10.4 und früher betrifft.

Laut der Fortinet-Forschungverwendet die neueste AndoryuBot-Kampagne eine verbesserte Botnetz-Version, die die neu gepatchte Sicherheitslücke CVE-2023-25717 ausnutzt. Die in den jüngsten AndoryuBot-Kampagnen genutzte Schwachstelle wurde erstmals im frühen Februar entdeckt und basierend auf dem entsprechenden Ruckus-Cybersicherheitsratgeber gepatcht. Allerdings konnten die von der Schwachstelle betroffenen Geräte mit End-of-Life-Modellen nicht gepatcht werden, was das System potenziellen DDoS-Angriffen aussetzt.

Die Infektionskette beginnt mit AndoryuBot, das die kompromittierten Ruckus-Geräte über eine schädliche HTTP-GET-Anfrage beeinflusst, die darauf abzielt, die IP-Adresse des Zielbenutzers abzurufen, dann versucht, über das SOCKS-Protokoll eine Verbindung zum C2-Server herzustellen und erwartet weiter, Befehle vom Server zu erhalten, um einen DDoS-Angriff zu starten.

Anfang Mai 2023 hat FortiGuard Labs seine im April herausgegebenen Forschungsergebnisse aktualisiert, die die zunehmende Anzahl von Ausnutzungsversuchen der CVE-2023-25717 abdecken, wobei die Schwachstelle aktiv in freier Wildbahn genutzt wird und der PoC-Code öffentlich verfügbar ist. Da sie in der Lage ist, eine vollständige Kompromittierung der betroffenen Geräte zu verursachen, sollten Cyberverteidiger dringend Maßnahmen ergreifen, um sich proaktiv gegen Cyberangriffe aufgrund erfolgreicher Ausnutzungsversuche dieser Ruckus-Schwachstelle zu verteidigen.

Verteidigen Sie Ihre Infrastruktur rechtzeitig gegen verheerende Angriffe, die ganze Unternehmen oder sogar Branchen lähmen können. Erkennen Sie aufkommende Bedrohungen mit Sigma-Regeln, die mit dem ATT&CK-Framework abgestimmt sind. Mehr als 150 Erkennungen, die sich an CVE-Exploits richten und mit mehr als 25 SIEM-, EDR- und XDR-Formaten kompatibel sind, stehen Ihnen kostenlos zur Verfügung unter https://socprime.com/. Und über 800 geprüfte Erkennungsregeln sind mit On-Demand-Plänen verfügbar unter /my.socprime.com/pricing/ 

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt 5 min zu lesen Neueste Bedrohungen Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt by Daryna Olyniychuk Koske Malware-Erkennung: Neue KI-generierte Linux-Bedrohung in freier Wildbahn 5 min zu lesen Neueste Bedrohungen Koske Malware-Erkennung: Neue KI-generierte Linux-Bedrohung in freier Wildbahn by Veronika Telychko CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt 4 min zu lesen Neueste Bedrohungen CVE-2025-6558 Schwachstelle: Google Chrome Zero-Day aktiv ausgenutzt by Daryna Olyniychuk
Alle Nachrichten