Работающее на Linux сетевое оборудование стало входным каналом для заражения подключенных по Wi-Fi устройств.
https://www.securitylab.ru/upload/ib...rvj3coew42.png
В точках доступа Ruckus на базе Linux обнаружена критическая уязвимость, позволяющая удалённым злоумышленникам захватывать контроль над целевыми системами.
Уязвимость получила идентификатор CVE-2023-25717 и была впервые обнаружена в феврале этого года. Недавно её стала эксплуатировать новая ботнет-кампания AndoryuBot, о чём сообщили специалисты Fortinet в своём отчёте . По данным компании, текущая версия ботнета начала стремительно распространяться во второй половине апреля.
AndoryuBot использует уязвимость маршрутизаторов Ruckus для проникновения в целевые устройства, после чего загружает специальный скрипт для дальнейшего распространения.
Обнаруженный Fortinet вариант ботнета нацелен на Linux-системы и способен заражать разные типы процессоров, в том числе используемых в смартфонах, ноутбуках и других электронных устройствах.
«После заражения целевого устройства AndoryuBot быстро распространяется и начинает общаться со своим сервером управления по протоколу SOCKS5. А получив команду на атаку, система-жертва запускает DDoS-атаку на определенный IP-адрес и порт», — пояснила Кара Лин, старший аналитик по антивирусам Fortinet.
«Пользователи должны быть в курсе этой новой угрозы и активно устанавливать патчи на затронутых устройствах », — посоветовали в Fortinet.
В отчёте компании также предоставлены IPS-сигнатуры для клиентов и индикаторы компрометации (IoC) для других специалистов безопасности, чтобы они смогли защитить сети своих компаний от угроз, связанных с эксплойтом.