I ricercatori di FortiGuard Labs hanno osservato nel mese di aprile un picco nell’attività associata a una botnet DDoS tracciata come AndoryuBot. La botnet apparsa per la prima volta nel febbraio 2023 avrebbe tentato di sfruttare la vulnerabilità tracciata come CVE-2023-25717, per l’esecuzione di codice in modalità remota su dispositivi Access Point Ruckus con versione Ruckus Wireless Admin 10.4 e precedenti.
“La vulnerabilità è dovuta alla gestione impropria di una richiesta HTTP predisposta. Un utente malintenzionato remoto autenticato potrebbe sfruttare la vulnerabilità inviando richieste HTTP predisposte al server di destinazione. Uno sfruttamento riuscito potrebbe comportare la totale compromissione dei dispositivi interessati. La vulnerabilità ha un punteggio base CVSS di 9,8“. Si legge nell’avviso FortiGuard.
L’infezione
Una volta che un dispositivo bersaglio viene compromesso, AndoryuBot scaricherebbe uno script dall’URL http[:]//163[.]123[.]142[.]146 per un’ulteriore propagazione iniziando a comunicare con il proprio server C2 (45[.]153[.]243[.]39[:]10333) tramite il protocollo SOCKS5. Dopo una rapida fase di aggiornamento con ulteriori metodi DDoS resta in attesa di ricevere i comandi per l’attacco.
I metodi di attacco DDos
Il bot supporterebbe più tecniche di attacco DDoS. Sarebbero previsti ben 12 metodi: tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp-bypass e icmp-echo.
Una volta impostato il canale di comunicazione, il client attenderebbe un comando dal server C2 per lanciare l’attacco DDoS su un indirizzo IP e un numero di porta specifici.
Misure di mitigazione
Essendo pubblicamente disponibile, secondo i ricercatori di Fortinet, un codice Proof-of-Concept (PoC) per questa vulnerabilità, è fortemente consigliabile, agli utenti interessati, l’installazione della correzione resa disponibile dal fornitore Ruckus.
La variante analizzata dai ricercatori si rivolgerebbe a più architetture, tra cui arm, m68k, mips, mpsl, sh4, spc e x86.
La botnet è stata pubblicizzata su un canale Telegram e YouTube.