Posté le mai 9, 2023 à 5:44
DES HACKERS EXPLOITENT LA VULNÉRABILITÉ DE RUCKUS RCE POUR LANCER DES ATTAQUES DDOS
Des hackers ont utilisé un nouveau logiciel malveillant connu sous le nom de « AndoryuBot » pour mener des cyberattaques. Ce logiciel malveillant cible une vulnérabilité de gravité critique dans le panneau d’administration de Ruckus Wireless. Après avoir infiltré l’appareil, les hackers infectent les points d’accès Wi-Fi non corrigés et les utilisent pour mener des exploits de déni de service distribué (DDoS).
Un nouveau réseau de logiciels malveillants cible une faille dans le panneau d’administration de Ruckus Wireless
La vulnérabilité en question est répertoriée sous le nom de CVE-2023-25717. La vulnérabilité affecte tous les panneaux d’administration de Ruckus Wireless à partir de la version 10.4. Elle permet aux acteurs de la menace d’exécuter du code après avoir envoyé une requête HTTP GET non authentifiée à l’appareil vulnérable.
La faille a été détectée et un correctif a été publié le 8 février 2023. Cependant, de nombreuses personnes n’ont pas encore installé les mises à jour de sécurité nécessaires pour corriger cette vulnérabilité, laissant leurs appareils vulnérables à l’exploitation par les acteurs de la menace derrière le logiciel malveillant AndoryuBot.
L’entreprise a par ailleurs annoncé que les modèles en fin de vie affectés par la faille de sécurité ne recevraient pas de correctif pour remédier à la vulnérabilité. Le logiciel malveillant AndoryuBot qui constitue une menace pour ceux qui utilisent des appareils dotés de ce logiciel malveillant a été détecté pour la première fois dans la nature en février 2023.
Un rapport de Fortinet a toutefois indiqué que le logiciel malveillant semble avoir évolué. La société de cybersécurité a déclaré qu’une version plus récente de ce logiciel malveillant ciblant les appareils Ruckus a été détectée en mi-avril.
Ce logiciel malveillant vise à intégrer des appareils vulnérables à l’essaim DDoS à partir duquel il opère à des fins lucratives. L’objectif de ce groupe d’acteurs de la menace exploitant la faille semble être l’extorsion financière. Si la motivation financière est la raison principale d’un grand nombre d’attaques DDoS, certaines de ces attaques sont également lancées par des groupes hacktivistes qui cherchent à envoyer un message à leurs adversaires.
Les attaques DDoS se sont multipliées ces dernières années en raison de la faible barrière à l’entrée. Les cybercriminels qui n’ont pas le savoir-faire technique nécessaire pour mener de telles attaques peuvent faire appel à des services de location de DDoS. Toutefois, les services répressifs ont pris des mesures sévères à l’encontre de ces sites, comme en témoigne la récente saisie de 13 domaines par les autorités américaines.
Cependant, dans le cas récent de Ruckus, les hackers semblent être sophistiqués car ils n’utilisent pas seulement le logiciel malveillant pour mener leurs propres attaques, mais louent aussi leurs services à d’autres cybercriminels contre rémunération.
Une attaque informatique contre Ruckus
Les hackers qui exploitent cette vulnérabilité déploient le logiciel malveillant AndoryuBot. Le logiciel malveillant est utilisé pour infecter les appareils vulnérables à l’aide de requêtes HTTP GET malveillantes. Le logiciel malveillant téléchargera par la suite un script supplémentaire à partir d’une URL codée en dur pour une plus grande propagation de l’attaque.
La variante analysée par Fortinet peut être utilisée pour cibler plusieurs architectures de système. Parmi ces cibles figurent arm, m68k, mips, mpsl, sh4, spc et x86. Une fois que l’acteur de la menace a réussi à infecter un appareil, le logiciel malveillant crée une connexion avec le serveur C2 via le protocole de proxys SOCKS.
Les hackers sont également furtifs dans leur opération car ils ont pris des mesures pour éviter d’être détectés. Le protocole de proxy SOCKS utilisé par les hackers permettra à leur opération de continuer à se dérouler de manière furtive. Le logiciel malveillant contournera aussi tout pare-feu de sécurité avant d’attendre une commande pour infecter l’appareil cible.
Le logiciel malveillant AndoryuBot dispose de nombreuses capacités lorsqu’il s’agit de lancer des attaques DDoS. Le logiciel malveillant prend en charge 12 modes d’attaque DDoS, notamment tcp-socket, tcp-raw, tcp-handshake, tcp-cnc, udp-game, udp-plain, udp-ovh, udp-vse, udp-raw, udp-bypass, udp-dstat et icmp-echo.
Le logiciel malveillant AndoryuBot obtiendra des commandes du serveur de commande et de contrôle. Ce serveur l’informe du type d’attaque DDoS à exécuter, de l’adresse IP de la cible et du numéro de port à utiliser dans l’exploit.
Les hackers qui utilisent ce logiciel malveillant louent également leur infrastructure à d’autres acteurs de la menace désireux de lancer des attaques DDoS. Ils louent les services à titre onéreux et se font payer en cryptomonnaies telles que Monero, Bitcoin, Ethereum et USDT. Ils utilisent aussi CashApp.
Selon Fortinet, le prix de location hebdomadaire pour une attaque de 90 secondes à connexion unique qui sera lancée 50 fois par jour est de 20 dollars. Il est également de 115 dollars pour une attaque de 200 secondes à double connexion qui sera lancée 100 fois par jour. Les capacités d’AndoryuBot sont commercialisées par le biais de vidéos postées sur YouTube.
Il est conseillé aux entreprises et aux particuliers de prendre les mesures appropriées pour se protéger contre ces attaques. Les entreprises devraient installer toutes les mises à jour nécessaires et mettre en place des mots de passe d’administrateur de chaîne. Il est aussi recommandé de désactiver l’accès au panneau d’administration à distance s’il n’est pas nécessaire.
