Detecção CVE-2023-25717: Novo Botnet de Malware AndoryuBot Explora Vulnerabilidade RCE no Painel de Administração Ruckus Wireless

[post-views]
Maio 12, 2023 · 4 min de leitura
Detecção CVE-2023-25717: Novo Botnet de Malware AndoryuBot Explora Vulnerabilidade RCE no Painel de Administração Ruckus Wireless

Um novo botnet de DDoS chamado AndoryuBot representa uma ameaça para os painéis de administração da Ruckus Wireless ao explorar uma falha de gravidade crítica recentemente corrigida, rastreada como CVE-2023-25717, com a pontuação base CVSS atingindo 9.8. A exploração da vulnerabilidade pode potencialmente levar à execução remota de código (RCE) e a uma total comprometimento do equipamento do Ponto de Acesso (AP) sem fio.

Detectando Tentativas de Exploração do CVE-2023-25717

A detecção proativa da exploração de vulnerabilidades tem permanecido como uma das principais prioridades de conteúdo desde 2021 devido ao crescente número de CVEs descobertas comprometendo soluções de software amplamente utilizadas e ativamente aproveitadas em ataques em ambiente não controlado.

Com o CVE-2023-25717 sendo ativamente explorado para escravizar dispositivos AP da Ruckus Wireless para o botnet Andoryu, defensores cibernéticos precisam de uma fonte confiável de conteúdo de detecção para identificar a infecção a tempo e reagir de forma proativa. A equipe da SOC Prime lançou recentemente uma nova regra Sigma, que identifica possíveis tentativas de execução remota de código para realizar movimentos laterais internamente e estabelecer pontos adicionais de persistência dentro da organização:

Possível Tentativa de Exploração do CVE-2023-25717 em AP da Ruckus Wireless (via proxy)

Esta regra Sigma está alinhada com o framework MITRE ATT&CK v12, abordando a tática de Movimento Lateral com a técnica correspondente de Exploração de Serviços Remotos (T1210) e pode ser aplicada em 18 soluções líderes do setor de SIEM, EDR, XDR e BDP.

Para superar os adversários e sempre estar à frente das ameaças emergentes, a Plataforma SOC Prime compila um lote de conteúdo de detecção abordando tentativas de exploração para as vulnerabilidades mais em voga. Basta clicar no botão Explore Detection e imediatamente aprofundar-se nas regras Sigma relevantes acompanhadas por metadados pertinentes, incluindo referências ATT&CK e CTI.

Explorar Detecções

Descrição do CVE-2023-25717

O novo botnet de malware chamado AndoryuBot, que primeiro ganhou destaque no cenário malicioso em fevereiro de 2023, ressurgiu para atacar dispositivos da Ruckus. Nas campanhas maliciosas em andamento observadas desde abril de 2023, hackers abusam da vulnerabilidade de RCE recentemente corrigida conhecida como CVE-2023-25717, que afeta todos os painéis de administração da Ruckus Wireless v.10.4 e anteriores.

De acordo com a pesquisa da Fortinet, a última campanha do AndoryuBot usa uma versão atualizada do botnet que aproveita a falha de segurança recentemente corrigida, CVE-2023-25717. A vulnerabilidade utilizada nas campanhas mais recentes do AndoryuBot foi descoberta e corrigida pela primeira vez no início de fevereiro com base no aviso de cibersegurança da Ruckus. No entanto, os modelos de dispositivo obsoletos afetados pela vulnerabilidade não puderam ser corrigidos, expondo o sistema a possíveis ataques de DDoS.

A cadeia de infecção começa com o AndoryuBot afetando os dispositivos Ruckus comprometidos por meio de uma solicitação maliciosa HTTP GET destinada a recuperar o endereço IP do usuário-alvo, depois tenta conectar-se ao servidor C2 via protocolo SOCKS, e continua esperando receber comandos do servidor para lançar um ataque de DDoS.

No início de maio de 2023, FortiGuard Labs atualizou sua pesquisa emitida em abril, cobrindo o crescente número de tentativas de exploração do CVE-2023-25717, com a vulnerabilidade sendo ativamente explorada em ambiente hostil e o código PoC disponível publicamente. Sendo capaz de causar comprometimento total dos dispositivos impactados, os defensores cibernéticos devem tomar medidas urgentes para defender-se proativamente contra ataques cibernéticos devido a tentativas bem-sucedidas de exploração desta vulnerabilidade da Ruckus.

Defenda-se em tempo hábil contra ataques devastadores que paralisam corporações inteiras ou até mesmo indústrias. Detecte ameaças emergentes com regras Sigma alinhadas com o framework ATT&CK. Mais de 150 detecções abordando explorações de CVEs e compatíveis com mais de 25 formatos de SIEM, EDR e XDR estão disponíveis gratuitamente em https://socprime.com/. E mais de 800 regras de detecção verificadas estão disponíveis com planos On Demand em /my.socprime.com/pricing/ 

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.