Se ha reportado un aviso de seguridad sobre una vulnerabilidad crítica que afecta a Ruckus Wireless explotada activamente por la nueva botnet de malware Andoryu, que permitiría a un atacante no autenticado realizar ejecución remota de código (RCE), ataques del tipo DDoS y comprometer por completo el equipo afectado.
La vulnerabilidad identificada como CVE-2023-25717, de severidad “Crítica” y con puntuación asignada de 9.8. Esta vulnerabilidad se debe al manejo inadecuado de las solicitudes HTTP en el proceso de inicio de sesión de la interfaz web de administración en Ruckus Wireless. Esto permitiría a un atacante no autenticado a través de una solicitud HTTP GET especialmente diseñada, realizar ejecución remota de código (RCE) y tomar el control de los dispositivos de punto de acceso inalámbrico (AP) afectados.
Dicha campaña de malware utiliza la vulnerabilidad mencionada para obtener acceso no autorizado al dispositivo, y luego descarga un script del servidor remoto para la propagación desde el dispositivo infectado, pudiendo desplegar ataques del tipo DDoS a partir de los mismos.
Algunos productos afectados son:
- RUCKUS H350
- RUCKUS H550
- RUCKUS R350
- RUCKUS T350c
- RUCKUS T350d
Se puede acceder al listado completo de productos afectados aquí.
Recomendamos acceder a las actualizaciones correspondientes provista por el fabricante en el siguiente enlace:
Referencias:
- https://thehackernews.com/2023/05/andoryu-botnet-exploits-critical-ruckus.html
- https://nvd.nist.gov/vuln/detail/CVE-2023-25717
- https://support.ruckuswireless.com/security_bulletins/315
- https://www.fortiguard.com/threat-signal-report/5151/exploitation-spike-observed-for-ruckus-wireless-admin-rce-vulnerability-cve-2023-25717
- https://www.fortinet.com/blog/threat-research/andoryubot-new-botnet-campaign-targets-ruckus-wireless-admin-remote-code-execution-vulnerability-cve-2023-25717