CVE-2023-25717 탐지: 신규 멀웨어 봇넷 AndoryuBot이 Ruckus Wireless 관리자 패널의 RCE 취약점을 악용

[post-views]
5월 12, 2023 · 3 분 읽기
CVE-2023-25717 탐지: 신규 멀웨어 봇넷 AndoryuBot이 Ruckus Wireless 관리자 패널의 RCE 취약점을 악용

AndoryuBot이라는 새로운 DDoS 봇넷이 CVE-2023-25717로 추적되는 치명적 취약성을 악용하여 Ruckus 무선 관리자 패널 위협을 가하고 있다. CVSS 기본 점수가 9.8에 도달하며 이 취약성 악용은 원격 코드 실행(RCE) 및 무선 액세스 포인트(AP) 장비의 완전한 손상을 초래할 수 있다.

CVE-2023-25717 악용 시도 탐지

취약성 악용의 사전 탐지는 항상 2021년 이후 주요 콘텐츠 우선순위 중 하나이며 광범위하게 사용되는 소프트웨어 솔루션을 위협하고 실제 공격에 적극적으로 활용되는 CVE의 증가로 인해 고려되어 왔다.

CVE-2023-25717가 Andoryu 봇넷으로 Ruckus 무선 AP 장치를 노예화하는 데 적극적으로 악용되고 있어, 사이버 수비수들은 감염을 제때 식별하고 사전에 대응할 수 있는 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 한다. SOC Prime 팀은 최근 조직 내부의 측면 이동을 시도하고 추가 지속성 포인트를 확립하기 위한 가능한 원격 코드 실행 시도를 식별하는 새로운 Sigma 규칙을 발표했다:

Ruckus Wireless AP CVE-2023-25717 악용 시도(프록시 경유)

이 Sigma 규칙은 MITRE ATT&CK v12 프레임워크와 일치하며 측면 이동 전술과 해당 원격 서비스의 악용(T1210) 기술을 다루며, 18개의 선도적인 SIEM, EDR, XDR, BDP 솔루션에 적용될 수 있다.

SOC Prime Platform은 가장 트렌디한 취약성에 대한 악용 시도를 다루는 탐지 콘텐츠를 큐레이팅하여 항상 새로운 위협에 앞서기 위해 빠르게 움직인다. 탐지 탐색 버튼을 클릭하면 ATT&CK 및 CTI 참조와 같은 관련 메타데이터가 제공되는 관련 Sigma 규칙으로 즉시 통찰력을 얻을 수 있다.

탐지 탐색

CVE-2023-25717 설명

2023년 2월 처음 악의적인 장소에 등장한 새로운 멀웨어 봇넷 AndoryuBot이 Ruckus 장치를 타겟으로 재부상했다. 2023년 4월부터 관찰된 지속적인 악성 캠페인에서 해커들은 최근 수정된 RCE 취약점인 CVE-2023-25717을 악용하고 있으며, 이는 모든 Ruckus 무선 관리자 패널 v.10.4 및 이전 버전에 영향을 미친다.

According to the Fortinet 연구에 따르면, 최신 AndoryuBot 캠페인은 새로 패치된 보안 취약점인 CVE-2023-25717을 활용하는 업그레이드된 봇넷 버전을 사용한다. 최근 AndoryuBot 캠페인에서 무기화된 이 취약점은 해당 Ruckus 사이버보안 자문 에 기반하여 2월 초에 처음 발견되어 패치되었다. 그러나 취약점에 영향을 받는 단종된 장치 모델은 패치될 수 없어 시스템을 잠재적인 DDoS 공격에 노출시키고 있다.

감염 체인은 AndoryuBot이 취약한 Ruckus 장치를 침해하여 사용자 IP 주소를 검색하려는 악성 HTTP GET 요청을 보냄으로써 시작되며, 이후 SOCKS 프로토콜을 통해 C2 서버에 접속을 시도한 후 DDoS 공격을 실행하기 위해 서버로부터 명령을 수신하기를 기대한다.

2023년 5월 초에 FortiGuard Labs 는 4월에 발행한 연구를 업데이트했으며, CVE-2023-25717의 악용 시도가 증가하는 것과 관련된 정보를 다루고 있다. 이 취약점은 실제에서 적극적으로 활용되고 있으며 PoC 코드가 공개적으로 이용 가능하다. 영향받는 장치의 완전한 손상을 초래할 수 있는 이 취약점에 대한 방어를 위해 사이버 수비수들은 성공적인 악용 시도로 인한 사이버 공격에 대해 사전에 방어하기 위한 긴급 조치를 취해야 한다.

인프라를 빠르게 방어하여 기업 또는 산업 전체를 마비시키는 파괴적인 공격을 방지하라. ATT&CK 프레임워크와 정렬된 Sigma 규칙으로 새로운 위협을 탐지하라. 150개 이상의 CVE 악용을 다루는 탐지 및 25개 이상의 SIEM, EDR 및 XDR 형식과 호환되는 탐지가 무료로 제공된다. https://socprime.com/. 그리고 800개 이상의 검토된 탐지 규칙이 제공되는 On-Demand 플랜이 /my.socprime.com/pricing/ 

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨 4 분 읽기 최신 위협 CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨 by Daryna Olyniychuk Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko CVE-2025-6558 취약점: 구글 크롬 제로데이 공격 사례 분석 3 분 읽기 최신 위협 CVE-2025-6558 취약점: 구글 크롬 제로데이 공격 사례 분석 by Daryna Olyniychuk
모든 뉴스