Détection de la CVE-2023-25717 : le nouveau botnet AndoryuBot exploite une faille RCE dans le panneau d’administration Ruckus Wireless

[post-views]
mai 12, 2023 · 4 min de lecture
Détection de la CVE-2023-25717 : le nouveau botnet AndoryuBot exploite une faille RCE dans le panneau d’administration Ruckus Wireless

Un nouveau botnet DDoS surnommé AndoryuBot menace les panneaux d’administration Ruckus Wireless en exploitant une faille critique récemment corrigée suivie sous le nom de CVE-2023-25717 avec un score de base CVSS atteignant 9,8. L’exploitation de cette vulnérabilité peut potentiellement conduire à une exécution de code à distance (RCE) et à un compromis total de l’équipement des points d’accès sans fil (AP).

Détecter les tentatives d’exploitation de CVE-2023-25717

La détection proactive de l’exploitation des vulnérabilités est restée l’une des priorités de contenu depuis 2021 en raison d’un nombre croissant de CVE découvertes compromettant des solutions logicielles largement utilisées et activement exploitées dans des attaques en milieu sauvage.

Avec le CVE-2023-25717 étant activement exploité pour asservir les appareils Ruckus Wireless AP au botnet Andoryu, les défendeurs informatiques ont besoin d’une source fiable de contenu de détection pour identifier l’infection en temps opportun et réagir de manière proactive. L’équipe SOC Prime a récemment publié une nouvelle règle Sigma qui identifie les tentatives possibles d’exécution de code à distance pour effectuer des mouvements latéraux en interne et établir des points de persistance supplémentaires au sein de l’organisation :

Tentative possible d’exploitation de CVE-2023-25717 sur les Ruckus Wireless AP (via proxy)

Cette règle Sigma est alignée avec le cadre MITRE ATT&CK v12 abordant la tactique de déplacement latéral avec la technique d’exploitation des services à distance correspondante (T1210) et peut être appliquée à travers 18 solutions SIEM, EDR, XDR et BDP de premier plan de l’industrie.

Pour dépasser les adversaires et toujours rester à la pointe des menaces émergentes, la plate-forme SOC Prime organise un lot de contenu de détection adressant les tentatives d’exploitation pour les vulnérabilités les plus tendances. Il suffit de cliquer sur le bouton Explore Detection et de plonger immédiatement dans les règles Sigma pertinentes accompagnées de métadonnées pertinentes, y compris les références ATT&CK et CTI.

Explorer les détections

Description CVE-2023-25717

Le nouveau botnet malveillant appelé AndoryuBot, qui a d’abord attiré l’attention dans l’arène malveillante en février 2023, est réapparu pour cibler les appareils Ruckus. Dans les campagnes malveillantes en cours observées depuis avril 2023, les hackers abusent de la vulnérabilité RCE récemment corrigée connue sous le nom de CVE-2023-25717, qui affecte tous les panneaux d’administration Ruckus Wireless v.10.4 et antérieurs.

Selon la recherche de Fortinet, la dernière campagne AndoryuBot utilise une version améliorée du botnet qui exploite la nouvelle faille de sécurité corrigée, CVE-2023-25717. La vulnérabilité utilisée dans les campagnes AndoryuBot les plus récentes a été découverte et corrigée pour la première fois début février sur la base du conseil en cybersécurité de Ruckus. Cependant, les modèles de dispositifs en fin de vie touchés par la vulnérabilité n’ont pas pu être corrigés, exposant le système à des attaques DDoS potentielles.

La chaîne d’infection commence avec AndoryuBot affectant les appareils Ruckus compromis via une requête HTTP GET malveillante visant à récupérer l’adresse IP de l’utilisateur ciblé, puis tente de se connecter au serveur C2 via le protocole SOCKS, et s’attend par la suite à recevoir des commandes du serveur pour lancer une attaque DDoS.

Début mai 2023, FortiGuard Labs a mis à jour ses recherches publiées en avril, couvrant le nombre croissant de tentatives d’exploitation de CVE-2023-25717, avec la vulnérabilité étant activement exploitée dans la nature et le code PoC publiquement disponible. Capable de causer un compromis total des appareils touchés, les cyberdéfenseurs devraient prendre des mesures urgentes pour se défendre de manière proactive contre les cyberattaques dues aux tentatives d’exploitation réussies de cette vulnérabilité Ruckus.

Défendez votre infrastructure à temps contre des attaques dévastatrices paralysant des entreprises ou même des industries entières. Détectez les menaces émergentes avec des règles Sigma alignées avec le cadre ATT&CK. Plus de 150 détections adressant les exploits CVE et compatibles avec plus de 25 formats SIEM, EDR et XDR sont disponibles gratuitement sur https://socprime.com/. Et plus de 800 règles de détection vérifiées sont disponibles avec les plans On Demand sur /my.socprime.com/pricing/ 

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Détection du Malware Koske : Nouvelle Menace Linux Générée par l’IA 7 min de lecture Dernières Menaces Détection du Malware Koske : Nouvelle Menace Linux Générée par l’IA by Veronika Telychko Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active 4 min de lecture Dernières Menaces Vulnérabilité CVE-2025-6558 : Zero-Day Google Chrome en Exploitation Active by Daryna Olyniychuk
Toutes les actualités