Le botnet AndoryuBot s'attaque aux installations avec du matériel Ruckus dans le but de compromettre des points d'accès Wi-Fi et de les exploiter dans le cadre d'attaques DDoS. Faisons le point sur cette menace.

Ruckus est une marque très populaire : il n'est pas rare de croiser des points d'accès Wi-Fi dans les couloirs des entreprises, même s'il y a d'autres types d'équipements réseau disponibles au catalogue du fabricant californien.

L'alerte de ce jour concerne la faille de sécurité CVE-2023-25717 qui affecte l'interface d'administration Ruckus Wireless, des appareils en version 10.4 ou antérieures. Cette vulnérabilité n'est pas nouvelle puisqu'elle a été découverte et corrigée le 8 février 2023. Toutefois, et c'est souvent le cas avec le matériel réseau, de nombreux appareils Ruckus n'ont pas encore bénéficié du correctif de sécurité. Pire encore, certains modèles de points d'accès Wi-Fi affecté par la faille de sécurité ne sont plus pris en charge par Ruckus : ils n'auront pas le droit à un correctif.

Dans le bulletin de sécurité de Ruckus, on peut prendre connaissance de la très longue liste de modèles affectés par cette faille de sécurité : Ruckus R300, Ruckus R310 Ruckus R350, Ruckus R550, Ruckus R560, Ruckus R650, Ruckus T350c, etc... Dans cette liste, il y a des points d'accès Wi-Fi mais aussi des contrôleurs Wi-Fi ZoneDirector et SmartZone.

De manière générale, il y a trois façons de se protéger : mettre à jour le firmware de ses appareils, définir un mot de passe administrateur robuste et désactiver l'interface d'administration si elle n'est pas utilisée.

Le botnet AndoryuBot

C'est en février 2023 que le botnet AndoryuBot a été repéré pour la première fois. Mais d'après Fortinet, la version actuelle qui cible les appareils Ruckus est apparue à la mi-avril, c'est-à-dire il y a moins d'un mois. Son objectif est de compromettre des appareils vulnérables (non patchés) afin qu'ils soient utilisés par le botnet pour réaliser des attaques par déni de service distribué.

L'infection d'un appareil passe par l'exécution d'une requête HTTP GET spécialement conçue pour exploiter cette faille de sécurité. Un script additionnel est téléchargé dans l'objectif de permettre au malware de se propager à d'autres appareils. Une fois l'appareil compromis, il établit une connexion à un serveur C2 via le protocole SOCKS pour bypasser plus facilement les firewalls : à partir de ce moment-là, il est en attente d'ordre.

Fortinet précise que le botnet AndoryuBot peut être loué pour réaliser des attaques : à partir de 20 dollars pour une attaque de 90 secondes qui va utiliser tous les appareils zombies disponibles.

Utilisateurs Ruckus, à vos mises à jour !

Source

The post Les appareils Ruckus compromis par le botnet AndoryuBot à l’aide d’une faille critique first appeared on IT-Connect.