Rilevamento CVE-2023-25717: Nuovo Botnet Malware AndoryuBot Sfrutta la Vulnerabilità RCE nel Pannello Amministrativo di Ruckus Wireless

[post-views]
Maggio 12, 2023 · 4 min di lettura
Rilevamento CVE-2023-25717: Nuovo Botnet Malware AndoryuBot Sfrutta la Vulnerabilità RCE nel Pannello Amministrativo di Ruckus Wireless

Un nuovo botnet DDoS denominato AndoryuBot rappresenta una minaccia per i pannelli di amministrazione di Ruckus Wireless sfruttando una nuova vulnerabilità di gravità critica recentemente corretta, tracciata come CVE-2023-25717, con un punteggio base CVSS che raggiunge 9.8. Lo sfruttamento della vulnerabilità può potenzialmente portare all’esecuzione di codice remoto (RCE) e alla compromissione completa delle apparecchiature Access Point (AP) wireless.

Rilevamento di tentativi di sfruttamento di CVE-2023-25717

Il rilevamento proattivo dello sfruttamento delle vulnerabilità è rimasto uno dei principali contenuti prioritari dal 2021 a causa del crescente numero di CVE scoperti che compromettono soluzioni software ampiamente utilizzate e attivamente utilizzati negli attacchi in-the-wild.

Con il CVE-2023-25717 sfruttato attivamente per schiavizzare i dispositivi Ruckus Wireless AP nel botnet Andoryu, i difensori informatici richiedono una fonte affidabile di contenuti di rilevamento per identificare l’infezione tempestivamente e reagire proattivamente. Il team di SOC Prime ha recentemente rilasciato una nuova regola Sigma, che identifica possibili tentativi di esecuzione di codice remoto per effettuare movimenti laterali internamente e stabilire punti aggiuntivi di persistenza all’interno dell’organizzazione:

Possibile tentativo di sfruttamento CVE-2023-25717 di Ruckus Wireless AP (via proxy)

Questa regola Sigma è allineata al quadro MITRE ATT&CK v12 che affronta la tattica del Lateral Movement con la corrispondente tecnica Explotation of Remote Services (T1210) e può essere applicata a 18 soluzioni SIEM, EDR, XDR, e BDP leader del settore.

Per superare gli avversari e restare sempre al passo con le emergenti minacce, la Piattaforma SOC Prime cura un batch di contenuti di rilevamento che affrontano i tentativi di sfruttamento delle vulnerabilità più di tendenza. Basta cliccare sul pulsante Explore Detection e accedere immediatamente alle regole Sigma pertinenti accompagnate dai metadati rilevanti, inclusi riferimenti ATT&CK e CTI.

Esplora le Rilevazioni

Descrizione CVE-2023-25717

Il nuovo malware botnet chiamato AndoryuBot, apparso per la prima volta sulla scena dannosa nel febbraio 2023, è riemerso per prendere di mira i dispositivi Ruckus. Nelle campagne dannose in corso osservate dall’aprile 2023, gli hacker sfruttano la recente vulnerabilità RCE corretta nota come CVE-2023-25717, che colpisce tutti i pannelli di amministrazione Ruckus Wireless v.10.4 e precedenti.

Secondo la ricerca di Fortinet, la più recente campagna di AndoryuBot utilizza una versione aggiornata del botnet che sfrutta il nuovo difetto di sicurezza corretto, CVE-2023-25717. La vulnerabilità utilizzata nelle campagne più recenti di AndoryuBot è stata scoperta e corretta per la prima volta all’inizio di febbraio basata sul corrispondente avviso di sicurezza Ruckus. Tuttavia, i modelli di dispositivi a fine vita colpiti dalla vulnerabilità non potevano essere corretti, esponendo il sistema a potenziali attacchi DDoS.

La catena di infezione inizia con AndoryuBot che colpisce i dispositivi Ruckus compromessi tramite una richiesta HTTP GET dannosa mirata a recuperare l’indirizzo IP dell’utente bersaglio, quindi tenta di connettersi al server C2 tramite il protocollo SOCKS, e successivamente si aspetta di ricevere comandi dal server per lanciare un attacco DDoS.

All’inizio di maggio 2023, FortiGuard Labs ha aggiornato la loro ricerca emessa in aprile, coprendo il crescente numero di tentativi di sfruttamento del CVE-2023-25717, con la vulnerabilità attivamente utilizzata in-the-wild e il codice PoC pubblicamente disponibile. Essendo in grado di causare una compromissione totale dei dispositivi impattati, i difensori informatici dovrebbero prendere misure urgenti per difendersi proattivamente dagli attacchi informatici a causa di tentativi di sfruttamento riusciti di questa vulnerabilità di Ruckus.

Difendi tempestivamente la tua infrastruttura contro attacchi devastanti che paralizzano intere aziende o addirittura industrie. Rileva le minacce emergenti con le regole Sigma allineate al framework ATT&CK. Oltre 150 rilevamenti che affrontano exploit CVE e compatibili con oltre 25 formati SIEM, EDR e XDR sono disponibili gratuitamente su https://socprime.com/. E oltre 800 regole di rilevamento verificate sono disponibili con piani On Demand su /my.socprime.com/pricing/ 

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom 6 min di lettura Ultime Minacce Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom by Daryna Olyniychuk Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA 6 min di lettura Ultime Minacce Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA by Veronika Telychko Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente 4 min di lettura Ultime Minacce Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente by Daryna Olyniychuk
Tutte le notizie