Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Hoaxcalls атакует устройства Grandstream UCM6200 через исправленную уязвимость

13/04/20

connect this

Ботнет Hoaxcalls активно атакует устройства Grandstream UCM6200 через исправленную недавно уязвимость CVE-2020-5722. Проблема затрагивает HTTP-интерфейс систем IP PBX и является критической (9,8 балла по шкале CVSS3.1). С ее помощью злоумышленник может осуществить SQL-инъекцию через особым образом сконфигурированный HTTP-запрос и выполнить команду оболочки с привилегиями суперпользователя (в версиях до 1.0.19.20) или внедрить HTML-код в электронное письмо для восстановления пароля (в версиях до 1.0.20.17).

Функция восстановления пароля в web-интерфейсе устройств Grandstream UCM6200 принимает имя пользователя в качестве входных данных и проверяет его наличие в базе данных SQLite. Используя в качестве имени пользователя определенную строку кода, атакующий может осуществить SQL-инъекцию и создать обратную оболочку для удаленного выполнения кода или ввести произвольный HTML-код в отправленное жертве электронное письмо для восстановления пароля.

Как сообщают исследователи компании Palo Alto Networks, уже более недели операторы Hoaxcalls активно атакуют устройства через уязвимость CVE-2020-5722, добавляют их в свой ботнет и используют для осуществления DDoS-атак. Злоумышленники также атакуют маршрутизаторы Draytek Vigor через другую критическую уязвимость (CVE-2020-8515).

Вредоносное ПО Hoaxcalls создано на базе кода семейства Gafgyt/Bashlite и распространяется автоматически через уязвимости в устройствах Grandstream и DrayTek. Ботнет используется для осуществления разных видов DDoS-атак в зависимости от полученных с C&C-сервера команд.

Уязвимость CVE-2020-5722 в Grandstream полностью исправлена в версии 1.0.20.17, а CVE-2020-8515 в DrayTek исправлена в версии 1.5.1.

Темы:ПреступленияботнетPalo Alto Networks
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...