Новый ботнет AndoryuBot использует уязвимость в точках доступа Ruckus для создания высокопроизводительной DDoS-армии

В точках доступа Ruckus на базе Linux обнаружена критическая уязвимость, позволяющая удалённым злоумышленникам захватывать контроль над целевыми системами.

Уязвимость получила идентификатор CVE-2023-25717 и была впервые обнаружена в феврале этого года. Недавно её стала эксплуатировать новая ботнет-кампания AndoryuBot, о чём сообщили специалисты Fortinet в своём отчёте . По данным компании, текущая версия ботнета начала стремительно распространяться во второй половине апреля.

AndoryuBot использует уязвимость маршрутизаторов Ruckus для проникновения в целевые устройства, после чего загружает специальный скрипт для дальнейшего распространения.

Обнаруженный Fortinet вариант ботнета нацелен на Linux-системы и способен заражать разные типы процессоров, в том числе используемых в смартфонах, ноутбуках и других электронных устройствах.

«После заражения целевого устройства AndoryuBot быстро распространяется и начинает общаться со своим сервером управления по протоколу SOCKS5. А получив команду на атаку, система-жертва запускает DDoS-атаку на определенный IP-адрес и порт», — пояснила Кара Лин, старший аналитик по антивирусам Fortinet.

«Пользователи должны быть в курсе этой новой угрозы и активно устанавливать патчи на затронутых устройствах », — посоветовали в Fortinet.

В отчёте компании также предоставлены IPS-сигнатуры для клиентов и индикаторы компрометации (IoC) для других специалистов безопасности, чтобы они смогли защитить сети своих компаний от угроз, связанных с эксплойтом.