Kritična ranjivost u Ruckus uređajima

AUTOR ·

Sigurnosni istraživači iz kompanije FortiGuard Labs su otkrili kritičnu ranjivost u Ruckus uređajima, odnosno bezbjednosnu grešku u  Ruckus administratorskom panelu koja omogućava pristup zlonamjernim napadačima.

Ruckus

Kritična ranjivost u Ruckus uređajima; Dizajn: Saša Đurić

Ranjivost u Ruckus uređajima

Ranjivost je označena kao CVE202325717 (sa CVSS ocjenom 9.8), a odnosi se na nepravilno upravljanje HTTP zahtjevima, koje omogućava izvršavanje daljinskog kôda i potpuno kompromitovanje Ruckus bežičnih pristupnih tački (eng. access point – AP).

Sigurnosni istraživači su primijetili da ovu ranjivost iskorištava novi botnet pod nazivom Andoryu. Ova botnet je prvo dokumentovala kineska sigurnosna kompanija QiAnXin ove godine u februaru, opisujući njenu mogućnost komunikacije sa komandnim serverom (C2) korištenjem SOCKS5 protokola.

Poznato je da ovaj botnet već iskorištava GitLab (CVE202122205) i Lilin DVR ranjivosti za svoje širenje, dodavanje ove ranjivosti u Ruckus uređajima pokazuju tendenciju unapređivanja mogućnosti napada i povećanja broja uređaja pod svojom kontrolom.

 

“Sadrži module DDoS napada za različite protokole i komunicira sa svojim serverom za komandu i kontrolu koristeći SOCKS5 proksije.”

 Sigurnosni istraživač Cara Lin, Fortinet FortiGuard Labs

 

Iskorištavanje ranjivosti

Zlonamjerni softver vrši infekciju uređaja korištenjem zlonamjernog HTTP GET zahtjeva koji preuzima dodatnu skriptu sa nepromjenjivom adresom veb lokacije za dalje širenje. Varijanta koju su sigurnosni istraživači analizirali podržava x86, arm, spc, m68k, mips, sh4, and mpsl arhitekture. Nakon uspješne infekcije uređaja, uspostavlja se veza sa komandnim serverom korištenjem  SOCKS5 protokola kako bi se zaobišao firewall i čeka dalje komande.

AndoryuBot zlonamjerni softver podržava 12 DDoS načina napada:

 

  • tcp-raw,
  • tcp-socket,
  • tcp-cnc,
  • tcp-handshake,
  • udp-plain,
  • udp-game,
  • udp-ovh,
  • udp-raw,
  • udp-vse,
  • udp-dstat,
  • udp-bypass
  • icmp-echo

 

Nakon što uspješno uspostavi komunikaciju, ovaj zlonamjerni softver može dobiti naredbu koja mu govori koji način DDoS napada da pokrene, IP adresu mete napada i broj porta koji će napasti.

 

Dostupnost

Autori softvera iznajmljuju svoje mogućnosti napada svima zainteresovanim koji žele da pokrenu DDoS napade prihvatajući plaćanje u kriptovalutama, koji obuhvaćaju različite mjesečne planove u rasponu od 90 do 115 američkih dolara u zavisnosti od dužine trajanja napada.

Projekat Andoryu se trenutno reklamira uz pomoć videa na YouTube platformi gdje zlonamjerni akteri demonstriraju botnet mogućnosti.

seller’s telegram channel

Seller’s telegram channel; Source: Fortinet

Zaštita

Korisnicima se preporučuje da što prije primjene dostupna sigurnosna ažuriranja, kao i da koriste jake administratorske lozinke i onemoguće daljinski pristup administratorskom panelu. U slučaju da napadač uspije kompromitovati uređaj, sigurnosno rješenje sa DNS filtriranjem može blokirati komunikaciju sa komandnim serverom napadača i na taj način onemogućiti iskorištavanje uređaja.

 

Zaključak

Ranjivost u Ruckus bežičnim pristupnim tačkama CVE-2023-25717 omogućava napadaču daljinsko izvršavanje kôda. Jednom kada je uređaj kompromitovan, AndoryuBot zlonamjerni softver se brzo širi i počinje komunikaciju sa komandnim serverom preko SOCKS5 protokola. Za veoma kratko vrijeme se ažurira sa svim novim načinima DDoS napada i čeka dalje instrukcije od komandnog servera. Korisnici moraju biti svjesni opasnosti od ove vrste napada i aktivno primjenjivati mjere zaštitite.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.