Badan Keamanan Siber dan Infrastruktur AS (CISA) hari ini memperingatkan tentang kelemahan kritis eksekusi kode jarak jauh (RCE) di panel Ruckus Wireless Admin yang secara aktif dieksploitasi oleh botnet DDoS yang baru ditemukan.
Sementara bug keamanan ini (CVE-2023-25717) telah ditangani pada awal Februari, banyak pemilik kemungkinan belum menambal titik akses Wi-Fi mereka. Selain itu, tidak ada tambalan yang tersedia bagi mereka yang memiliki model akhir masa pakainya yang terpengaruh oleh masalah ini.
Penyerang menyalahgunakan bug untuk menginfeksi AP Wi-Fi yang rentan dengan malware AndoryuBot (pertama kali terlihat pada Februari 2023) melalui permintaan HTTP GET yang tidak diautentikasi.
Setelah disusupi, perangkat ditambahkan ke botnet yang dirancang untuk meluncurkan serangan Distributed Denial-of-Service (DDoS).
Malware ini mendukung 12 mode serangan DDoS: tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp- bypass, dan icmp-echo.
Penjahat dunia maya yang ingin meluncurkan serangan DDoS (Distributed Denial of Service) sekarang dapat menyewa daya tembak botnet AndoryuBot, karena operatornya menawarkan layanan mereka kepada orang lain.
Pembayaran untuk layanan ini diterima melalui layanan pembayaran seluler CashApp atau dalam berbagai cryptocurrency, termasuk XMR, BTC, ETH, dan USDT.
Agen federal diperintahkan untuk menambal pada 2 Juni
CISA telah memberi US Federal Civilian Executive Branch Agencies (FCEB) batas waktu 2 Juni untuk mengamankan perangkat mereka terhadap bug RCE CVE-2023-25717 kritis, yang ditambahkan ke daftar Kerentanan Tereksploitasi yang Diketahui pada hari Jumat.
Hal ini sejalan dengan a Petunjuk Operasional yang mengikat November 2021 yang mengharuskan agen federal untuk memeriksa dan memperbaiki jaringan mereka untuk semua kelemahan keamanan yang tercantum dalam katalog KEV CISA.
Sementara katalog terutama berfokus pada agen federal AS, perusahaan swasta juga sangat disarankan untuk memprioritaskan penanganan kerentanan yang tercantum dalam daftar KEV karena pelaku ancaman secara aktif mengeksploitasi mereka, sehingga mengekspos organisasi publik dan swasta terhadap peningkatan risiko pelanggaran keamanan.
CISA juga memerintahkan agen federal pada hari Selasa untuk menambal a Windows nol hari (CVE-2023-29336) sebelum 30 Mei karena memungkinkan penyerang meningkatkan hak istimewa untuk mendapatkan izin pengguna SISTEM pada sistem Windows yang disusupi.
Microsoft mengakui bahwa bug driver Kernel Win32k telah dieksploitasi dalam serangan, tetapi belum memberikan detail tentang metode eksploitasi.
