La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a mis en garde aujourd’hui contre une faille critique d’exécution de code à distance (RCE) dans le panneau d’administration sans fil de Ruckus activement exploitée par un botnet DDoS récemment découvert.

Bien que ce bogue de sécurité (CVE-2023-25717) ait été résolu début février, de nombreux propriétaires n’ont probablement pas encore corrigé leurs points d’accès Wi-Fi. De plus, aucun correctif n’est disponible pour ceux qui possèdent des modèles en fin de vie touchés par ce problème.

Les attaquants abusent du bogue pour infecter les points d’accès Wi-Fi vulnérables avec le logiciel malveillant AndoryuBot (repéré pour la première fois en février 2023) via des requêtes HTTP GET non authentifiées.

Une fois compromis, les appareils sont ajoutés à un botnet conçu pour lancer des attaques par déni de service distribué (DDoS).

Le malware prend en charge 12 modes d’attaque DDoS : tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp- contournement et icmp-écho.

Les cybercriminels cherchant à lancer des attaques DDoS (Distributed Denial of Service) peuvent désormais louer la puissance de feu du botnet AndoryuBot, car ses opérateurs proposent leurs services à d’autres.

Les paiements pour ce service sont acceptés via le service de paiement mobile CashApp ou dans diverses crypto-monnaies, notamment XMR, BTC, ETH et USDT.

Les agences fédérales ont reçu l’ordre de patcher d’ici le 2 juin
La CISA a donné aux agences fédérales américaines de l’exécutif civil (FCEB) la date limite du 2 juin pour sécuriser leurs appareils contre le bogue critique CVE-2023-25717 RCE, qui a été ajouté à sa liste de vulnérabilités exploitées connues vendredi.

Cela s’aligne sur une directive opérationnelle contraignante de novembre 2021 qui oblige les agences fédérales à vérifier et à corriger leurs réseaux pour toutes les failles de sécurité répertoriées dans le catalogue KEV de CISA.

Bien que le catalogue se concentre principalement sur les agences fédérales américaines, il est également fortement conseillé aux entreprises privées de traiter en priorité les vulnérabilités répertoriées dans la liste KEV, car les acteurs de la menace les exploitent activement, exposant ainsi les organisations publiques et privées à des risques accrus de failles de sécurité.

La CISA a également ordonné mardi aux agences fédérales de corriger un Windows zero-day (CVE-2023-29336) d’ici le 30 mai, car il permet aux attaquants d’élever les privilèges pour obtenir des autorisations utilisateur SYSTEM sur les systèmes Windows compromis.

Microsoft a reconnu que le bogue du pilote Win32k Kernel avait été exploité dans des attaques, mais n’a pas encore fourni de détails sur la méthode d’exploitation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *