Detección de CVE-2023-25717: Nuevo Botnet de Malware AndoryuBot Explota Vulnerabilidad RCE en el Panel de Administración de Ruckus Wireless

[post-views]
mayo 12, 2023 · 4 min de lectura
Detección de CVE-2023-25717: Nuevo Botnet de Malware AndoryuBot Explota Vulnerabilidad RCE en el Panel de Administración de Ruckus Wireless

Una nueva botnet DDoS llamada AndoryuBot representa una amenaza para los paneles de administración de Ruckus Wireless al explotar una vulnerabilidad crítica recientemente parcheada, rastreada como CVE-2023-25717, con un puntaje base de CVSS que alcanza 9.8. La explotación de la vulnerabilidad puede llevar potencialmente a la ejecución remota de código (RCE) y a una completa compromisión del equipo de Punto de Acceso inalámbrico (AP).

Detectando Intentos de Explotación del CVE-2023-25717

La detección proactiva de la explotación de vulnerabilidades ha sido una de las principales prioridades de contenido desde 2021 debido a un número creciente de CVEs descubiertos comprometiendo soluciones de software ampliamente utilizadas y aprovechados activamente en ataques en el mundo real.

Con el CVE-2023-25717 siendo explotado activamente para esclavizar dispositivos AP de Ruckus Wireless a la botnet Andoryu, los defensores cibernéticos requieren una fuente confiable de contenido de detección para identificar la infección oportunamente y reaccionar proactivamente. El equipo de SOC Prime ha lanzado recientemente una nueva regla Sigma, que identifica posibles intentos de ejecución remota de código para realizar movimientos laterales internamente y establecer puntos adicionales de persistencia dentro de la organización: 

Intento Posible de Explotación del CVE-2023-25717 en AP de Ruckus Wireless (vía proxy)

Esta regla Sigma está alineada con el marco MITRE ATT&CK v12 que aborda la táctica de Movimiento Lateral con la técnica correspondiente de Explotación de Servicios Remotos (T1210) y puede aplicarse en 18 soluciones líderes de la industria de SIEM, EDR, XDR y BDP.

Para superar a los adversarios y mantenerse siempre a la vanguardia de las amenazas emergentes, la Plataforma SOC Prime selecciona un lote de contenido de detección que aborda los intentos de explotación para las vulnerabilidades más populares. Simplemente presione el botón Explorar Detecciones y profundice de inmediato en las reglas Sigma relevantes acompañadas de metadatos pertinentes, incluidas referencias ATT&CK y CTI.

Explorar Detecciones

Descripción del CVE-2023-25717

El nuevo malware botnet llamado AndoryuBot, que apareció por primera vez en el ámbito malicioso en febrero de 2023, ha resurgido para atacar dispositivos Ruckus. En las campañas maliciosas en curso que se han observado desde abril de 2023, los hackers abusan de la vulnerabilidad de RCE recientemente parcheada conocida como CVE-2023-25717, que afecta a todos los paneles de administración de Ruckus Wireless v.10.4 y anteriores.

Según la investigación de Fortinet, la última campaña de AndoryuBot utiliza una versión mejorada de la botnet que aprovecha la nueva falla de seguridad parcheada, CVE-2023-25717. La vulnerabilidad utilizada en las campañas más recientes de AndoryuBot fue descubierta y parcheada por primera vez a principios de febrero según el aviso de ciberseguridad de Ruckus. Sin embargo, los modelos de dispositivos que están al final de su vida útil y que se vieron afectados por la vulnerabilidad no pudieron ser parcheados, exponiendo el sistema a posibles ataques DDoS.

La cadena de infección comienza con AndoryuBot afectando a los dispositivos Ruckus comprometidos mediante una solicitud maliciosa de HTTP GET destinada a recuperar la dirección IP del usuario objetivo, luego intenta conectarse al servidor C2 a través del protocolo SOCKS y posteriormente espera recibir comandos del servidor para lanzar un ataque DDoS.

A principios de mayo de 2023, FortiGuard Labs actualizó su investigación, que se emitió en abril, cubriendo el creciente número de intentos de explotación del CVE-2023-25717, con la vulnerabilidad siendo aprovechada activamente en el entorno y el código PoC disponible públicamente. Siendo capaz de causar una completa compromisión de los dispositivos afectados, los defensores cibernéticos deben tomar medidas urgentes para defenderse proactivamente contra los ciberataques debido a intentos de explotación exitosos de esta vulnerabilidad de Ruckus.

Defienda oportunamente su infraestructura contra ataques devastadores que paralizan corporaciones enteras o incluso industrias. Detecte amenazas emergentes con reglas Sigma alineadas con el marco ATT&CK. Más de 150 detecciones que abordan exploits de CVE y compatibles con más de 25 formatos de SIEM, EDR y XDR están disponibles gratuitamente en https://socprime.com/. Y más de 800 reglas de detección verificadas están disponibles con los planes On Demand en /my.socprime.com/pricing/ 

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación 6 min de lectura Últimas Amenazas Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación by Veronika Telychko CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa 4 min de lectura Últimas Amenazas CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo Explotación Activa by Daryna Olyniychuk
Todas las noticias