New Botnet Campaign Exploits Ruckus Wireless Flaw
2023/05/09 InfoSecurity — Linux ベースの Ruckus AP (access point) に存在する深刻な脆弱性が、リモート攻撃を仕掛ける脅威アクターにより制御を奪われる可能性があることが判明した。Fortinet の最新アドバイザリによると、2023年2月に発見された脆弱性 CVE-2023-25717 が、AndoryuBot という新たなボットネットに悪用されているという。
Fortinet の Senior Antivirus Analyst である Cara Lin は、「AndoryuBot が採用する各種のプロトコルに対応する DDoS 攻撃モジュールにより、SOCKS5 プロキシを介した Command and Control サーバとの通信が検出されている。当社の IPS (intrusion prevention system) シグネチャのトリガー・カウントに基づくと、このキャンペーンは、4月中旬以降に、現在のバージョンの配布を開始している」と説明している。
AndoryuBot は、Ruckus の脆弱性を悪用してデバイスに侵入した後に、さらなる拡散のためのスクリプトをダウンロードする。Fortinet 観測した亜種は、Linux システムを標的とし、スマートフォン/ノートパソコンなどで使用されている、さまざまな種類のコンピュータ・プロセッサに感染するように設計されている。
AndoryuBot は、”curl” という名の本体をダウンロードする方法を用いている。しかし Fortinet は、このマルウェアのコードにはエラーがあり、一部のコンピュータで実行できないことも発見している。
Cara Lin は、「ターゲット・デバイスが侵害されると、AndoryuBot は直ちに拡散され、SOCKS プロトコルを介して C2 サーバとの通信を開始する。被害者のシステムが攻撃コマンドを受信すると、特定の IP アドレスとポート番号を用いた DDoS 攻撃が開始される」と述べている。
Lin によると、その後に AndoryuBot は、より多くの DDoS 手法を用いて素早く更新を行い、攻撃コマンドを待つという。Fortinet は、「この新たな脅威を、ユーザーは認識すべきであり、影響を受けるデバイスに対してパッチを積極的に適用する必要がある」と指摘している。
このアドバイザリでは、顧客向けに IPS シグネチャを提供し、その他のシステム防御者向けには Indicator of Compromise (IOC) を提供している。いずれも、エクスプロイトで特定された脅威から、企業を保護することを目的としているものだ。
先日には、Akamai のセキュリティ研究者たちが、数 Tbps に達するデータ量で攻撃する、新しい DDoS ボットネットを発見している、その数週間後に、このアドバイザリは発表されている。
Ruckus というブランドですが、日本のマーケットでも利用されているようであり、この脆弱性の影響が心配されます。最近の WiFi 関連の脆弱性/インシデントについては、以下のような記事が提供されています。よろしければ、ご参照ください。
2023/04/25:TP-Link Archer WiFi の脆弱性が FIX
2023/03/28:WiFi プロトコル IEEE 802.11 に欠陥
2022/09/18:Netgear ルーターに複数の脆弱性
2022/09/14:航空機内の無線 LAN デバイスに欠陥
IoT OT Security News 
You must be logged in to post a comment.