Araştırmacılar, tehdit aktörlerinin Ruckus Wireless ürünlerindeki kritik bir güvenlik açığından yararlanarak kullanıcılarını riske attığını buldu.
Cyble Global Sensor Network (CGSI), CVE-2023-25717’nin devam eden bir istismarını başarıyla tespit etti.
Ek olarak, bilgisayar korsanları tarafından AndoryuBot DDoS Botnet olarak bilinen yeni bir tehdit ortaya çıktı. Bu endişe verici gelişme, Tehdit Aktörlerinin (TA’lar) hassas Ruckus Wireless ürünlerini avlamak için dijital manzarayı özenle taradığını kuvvetle gösteriyor.
8 Şubat 2023’te müşteriler, Ruckus Wireless Admin’i etkileyen bir Uzaktan Kod Yürütme (RCE) güvenlik açığı olan CVE-2023-25717 hakkında bir satıcı tarafından uyarıldı.
Bu güvenlik açığı, özel hazırlanmış bir HTTP isteğinin yetersiz işlenmesinden kaynaklanır. CVE-2023-25717 güvenlik açığından şu HTTP GET isteği gönderilerek yararlanılır: “/forms/doLogin?login_username=admin&password=password$(curl substring)”.
Ruckus Wireless ürünleri ve AndoryuBot DDoS Botnet
Güvenlik açığı için herkesin erişebileceği bir Kavram Kanıtı’nın (POC) mevcudiyeti, tehdit aktörlerinin büyük olasılıkla bu güvenlik açığından büyük ölçekte yararlanacağını gösteriyor.
Nisan ayında FortiGuard Labs, CVE-2023-25717 güvenlik açığı aracılığıyla dağıtılan ve özellikle Ruckus Wireless ürünlerini hedef alan, SOCKS protokolüne dayalı benzersiz bir botnet gözlemledi.
“AndoryuBot olarak bilinen bu botnet ilk olarak Şubat 2023’te ortaya çıktı. Farklı protokoller için DDoS saldırı modülleri içeriyor ve SOCKS5 proxy’lerini kullanarak komuta ve kontrol sunucusuyla iletişim kuruyor.” fortinet blog gönderisi saldırı
“IPS imza tetikleyici sayımıza göre (Şekil 1), bu kampanya mevcut sürümü Nisan ortasından sonra dağıtmaya başladı.”
Siber Güvenlik ve Altyapı Dairesi (CISA), 15 Mayıs 2023’te Bilinen Yararlı Güvenlik Açığı kataloğuna CVE-2023-25717’yi ekledi.
Telegram’da abonelik tabanlı bir hizmet olarak satılan AndoryuBot DDoS Botnet, Tehdit Aktörlerinin büyük ölçekli Dağıtılmış Hizmet Reddi (DDoS) saldırıları düzenlemesini sağlayan bir Botnet kötü amaçlı yazılımıdır. Bu tür saldırılar, hedeflenen sunucuları ve altyapıyı muazzam bir trafik hacmiyle doldurarak bunaltabilir.
Güvenlik açığının kritik önem derecesini ve AndoryuBot DDoS Botnet’in istismarını göz önünde bulunduran Cyble araştırmacıları, çevrimiçi tarayıcılar kullanarak internete açık Ruckus Kablosuz Yönetici panellerinin varlığını araştırmaya karar verdi. Bulguları, internet üzerinden açığa çıkan yaklaşık 52.000 örneği ortaya çıkardı.
AndoryuBot DDoS Botnet’in teknik analizi
AndoryuBot DDoS Botnet ikili dosyası (SHA256: c4925a91ed853920d8acee79bf0bb9342da4dabc0a2970823027f39ede399bce) 32 bitlik bir Linux yürütülebilir dosyasıdır.
Yürütme sonrasında, kötü amaçlı yazılım ikili programı, sağlanan komut satırı bağımsız değişkenlerinin sayısını kontrol eder. Yalnızca tek bir bağımsız değişken algılanırsa yürütülmesine devam eder.
Ardından, kötü amaçlı yazılım, işlem adını değiştirmek için 15’e ayarlanan seçenek değişkenini kullanarak prctl() işlevini kullanır. İşlem adını, gizlemek için kullanılan bir savunma kaçırma tekniği olan “DvrHelper” olarak değiştirir.
Bunu takiben, bir şifre çözme döngüsü kullanarak, AndoryuBot DDoS Botnet ikili programı “.rodata” bölümündeki şifrelenmiş dizilerin şifresini çözer.
Kötü amaçlı yazılım, bir Komuta ve Kontrol (C&C) Sunucusu ile iletişim kurmak için soketler oluşturur. Kötü amaçlı yazılım, sunucudan alınan talimatlara dayanarak, Dağıtılmış Hizmet Reddi (DDoS) saldırıları başlatma dahil olmak üzere çeşitli kötü amaçlı etkinlikler gerçekleştirir.
Ağ iletişimini kolaylaştırmak için, kötü amaçlı yazılım bir soket oluşturmak için socket() işlevini kullanır.
Ruckus Wireless ürünleri ve güvenlik açığı yönetimi
Ruckus, çeşitli kuruluşların geniş çapta kucakladığı son teknoloji ağ çözümleri ve hizmetleri sunar. Bununla birlikte, Ruckus Wireless ürünlerinin muazzam popülaritesi, kendi hain amaçları için güvenlik açıklarından aktif olarak yararlanan kötü niyetli tehdit aktörlerinin dikkatini çekti.
Goanywhere, PaperCut ve şimdi de Ruckus’taki güvenlik açıklarından yararlanmayı içeren son olaylar, tehdit aktörlerinin durmaksızın internete açık ve saldırılara açık örnekleri aradıklarını gösteriyor.
Güvenlik altyapısını güçlendirmek için, yetkili satıcı tarafından yayınlanan en son yamaları ve güvenlik önlemlerini hemen yükleyerek güncel yazılım, aygıt yazılımı ve uygulamaları özenle sürdürmek zorunludur. Bunu yaparak, potansiyel saldırganların güvenlik açıklarından yararlanmaları engellenir.
Etkili ağ bölümleme tekniklerinin kullanılması, rakiplerin yanal hareketler gerçekleştirmesini önlemek ve hayati önem taşıyan çevrimiçi kaynakların potansiyel olarak ele geçirilmesini kısıtlamak için başka bir önemli öneridir.
Ek olarak, rutin denetimler, güvenlik açığı değerlendirmeleri ve sızma testi tatbikatları yapmak, kötü niyetli aktörlerin yararlanmaya çalışabilecekleri güvenlik açıklarının belirlenmesinde ve düzeltilmesinde çok önemli bir rol oynar. Bu proaktif önlemler, ağın güvenliğini güçlendirmede etkilidir.
Ayrıca, sürekli izleme ve kapsamlı günlük kaydı, ağ anormalliklerinin zamanında tespit edilmesinde ölçülemez bir değere sahiptir. Tüm usulsüzlükleri hızlı bir şekilde tanımlayarak, potansiyel tehditler en erken aşamalarda ele alınabilir ve hafifletilebilir, bu da ağın genel güvenliğini sağlar.