Falha crítica de RCE no Ruckus explorada por novo malware de botnet DDoS
10 de Maio de 2023

Uma nova botnet de malware chamada 'AndoryuBot' está visando uma falha de gravidade crítica no painel de administração sem fio Ruckus para infectar pontos de acesso Wi-Fi não corrigidos para uso em ataques DDoS.

Rastreada como CVE-2023-25717 , a falha afeta todos os painéis de administração sem fio Ruckus versão 10.4 e mais antigas, permitindo que atacantes remotos executem código enviando solicitações HTTP GET não autenticadas para dispositivos vulneráveis.

A falha foi descoberta e corrigida em 8 de fevereiro de 2023.

Ainda assim, muitos não aplicaram as atualizações de segurança disponíveis, enquanto os modelos com fim de vida afetados pelo problema de segurança não receberão correções.

AndoryuBot apareceu pela primeira vez em fevereiro de 2023, mas a Fortinet diz que sua versão mais recente, que visa dispositivos Ruckus, surgiu em meados de abril.

O malware da botnet visa recrutar dispositivos vulneráveis para seu enxame de DDoS (negação de serviço distribuída) que opera para obter lucro.

O malware infecta dispositivos vulneráveis por meio de solicitações HTTP GET maliciosas e, em seguida, baixa um script adicional de uma URL codificada para propagação adicional.

A variante analisada pela Fortinet pode visar numerosas arquiteturas de sistema, incluindo x86, arm, spc, m68k, mips, sh4 e mpsl.

Após infectar um dispositivo, o malware estabelece comunicação com o servidor C2 usando o protocolo de proxy SOCKS para furtividade e para contornar firewalls, e então aguarda comandos.

O malware AndoryuBot suporta 12 modos de ataque DDoS: tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp-bypass e icmp-echo.

O malware receberá comandos do servidor de comando e controle que informam o tipo de DDoS, o endereço IP de destino e o número da porta para atacar.

Os operadores do malware alugam sua capacidade de fogo para outros cibercriminosos que desejam lançar ataques DDoS, aceitando pagamentos em criptomoeda (XMR, BTC, ETH, USDT, CashApp) por seus serviços.

A Fortinet diz que os preços de aluguel semanais variam de US $ 20 para um ataque único de 90 segundos usando todos os bots disponíveis lançados 50 vezes por dia a US $ 115 para um ataque de dupla conexão de 200 segundos usando todos os bots disponíveis para lançar 100 ataques diários.

O projeto Andoryu é atualmente comercializado por meio de vídeos do YouTube, onde seus operadores demonstram as capacidades da botnet.

Para evitar infecções por malware de botnet, aplique as atualizações de firmware disponíveis, use senhas fortes do administrador do dispositivo e desative o acesso remoto ao painel de administração, se não necessário.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...