Lỗ hổng nghiêm trọng Ruckus RCE bị phần mềm độc hại botnet DDoS mới khai thác

Một mạng botnet phần mềm độc hại mới có tên 'AndoryuBot' đang nhắm đến một lỗ hổng nghiêm trọng trong bảng Quản trị không dây Ruckus để lây nhiễm các điểm truy cập Wi-Fi chưa được vá để sử dụng trong các cuộc tấn công DDoS.

Được đặt tên là  CVE-2023-25717 , lỗ hổng này ảnh hưởng đến tất cả các bảng quản trị Ruckus Wireless Admin phiên bản 10.4 trở lên, cho phép kẻ tấn công từ xa thực hiện mã thực thi bằng cách gửi các yêu cầu HTTP GET chưa được xác thực tới các thiết bị dễ bị tấn công.

Lỗ hổng được phát hiện và  sửa vào ngày 8 tháng 2 năm 2023 . Tuy nhiên, nhiều người vẫn chưa áp dụng các bản cập nhật bảo mật có sẵn, trong khi các mẫu máy đã hết tuổi thọ bị ảnh hưởng bởi sự cố bảo mật sẽ không nhận được bản vá.

AndoryuBot lần đầu tiên xuất hiện trên thực tế vào tháng 2 năm 2023, nhưng  Fortinet  cho biết phiên bản mới hơn nhắm vào các thiết bị Ruckus đã xuất hiện vào giữa tháng 4.

Phần mềm độc hại botnet nhằm mục đích tranh thủ các thiết bị dễ bị tấn công vào nhóm DDoS (từ chối dịch vụ phân tán) mà nó hoạt động vì lợi nhuận.

Chi tiết cuộc tấn công Ruckus

Phần mềm độc hại lây nhiễm các thiết bị dễ bị tổn thương thông qua các yêu cầu HTTP GET độc hại, sau đó tải xuống một tập lệnh bổ sung từ một URL được mã hóa cứng để phát tán thêm.

Yêu cầu HTTP độc hại

Biến thể do Fortinet phân tích có thể nhắm mục tiêu vào nhiều kiến ​​trúc hệ thống, bao gồm x86, arm, spc, m68k, mips, sh4 và mpsl.

Sau khi lây nhiễm một thiết bị, phần mềm độc hại sẽ thiết lập liên lạc với máy chủ C2 bằng cách sử dụng giao thức ủy quyền SOCKS để tàng hình và vượt qua tường lửa, sau đó chờ lệnh.

Thiết lập giao tiếp C2

Dự án AndoryuBot

Phần mềm độc hại AndoryuBot hỗ trợ 12 chế độ tấn công DDoS: tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp -bypass và icmp-echo.

Tập lệnh tải xuống tải trọng

Phần mềm độc hại sẽ nhận các lệnh từ máy chủ chỉ huy và kiểm soát cho nó biết loại DDoS, địa chỉ IP mục tiêu và số cổng để tấn công.

Những kẻ điều hành phần mềm độc hại cho tội phạm mạng khác thuê hỏa lực của chúng, những kẻ muốn khởi động các cuộc tấn công DDoS, chấp nhận thanh toán bằng tiền điện tử (XMR, BTC, ETH, USDT, CashApp) cho các dịch vụ của chúng.

Fortinet cho biết giá thuê hàng tuần dao động từ 20 đô la cho cuộc tấn công 90 giây một kết nối sử dụng tất cả các bot có sẵn khởi chạy 50 lần một ngày đến 115 đô la cho cuộc tấn công 200 giây kết nối kép sử dụng tất cả các bot có sẵn để khởi chạy 100 cuộc tấn công mỗi ngày.

Dự án Andoryu hiện đang được tiếp thị thông qua các video trên YouTube, nơi các nhà khai thác của nó thể hiện khả năng của mạng botnet.

Dịch vụ DDoS của phần mềm độc hại được quảng cáo trên YouTube 

Để ngăn lây nhiễm phần mềm độc hại botnet, hãy áp dụng các bản cập nhật chương trình cơ sở có sẵn, sử dụng mật khẩu quản trị viên thiết bị mạnh và tắt quyền truy cập bảng quản trị từ xa nếu không cần thiết.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.