13/04/20
Ботнет Hoaxcalls активно атакует устройства Grandstream UCM6200 через исправленную недавно уязвимость CVE-2020-5722. Проблема затрагивает HTTP-интерфейс систем IP PBX и является критической (9,8 балла по шкале CVSS3.1). С ее помощью злоумышленник может осуществить SQL-инъекцию через особым образом сконфигурированный HTTP-запрос и выполнить команду оболочки с привилегиями суперпользователя (в версиях до 1.0.19.20) или внедрить HTML-код в электронное письмо для восстановления пароля (в версиях до 1.0.20.17).
Функция восстановления пароля в web-интерфейсе устройств Grandstream UCM6200 принимает имя пользователя в качестве входных данных и проверяет его наличие в базе данных SQLite. Используя в качестве имени пользователя определенную строку кода, атакующий может осуществить SQL-инъекцию и создать обратную оболочку для удаленного выполнения кода или ввести произвольный HTML-код в отправленное жертве электронное письмо для восстановления пароля.
Как сообщают исследователи компании Palo Alto Networks, уже более недели операторы Hoaxcalls активно атакуют устройства через уязвимость CVE-2020-5722, добавляют их в свой ботнет и используют для осуществления DDoS-атак. Злоумышленники также атакуют маршрутизаторы Draytek Vigor через другую критическую уязвимость (CVE-2020-8515).
Вредоносное ПО Hoaxcalls создано на базе кода семейства Gafgyt/Bashlite и распространяется автоматически через уязвимости в устройствах Grandstream и DrayTek. Ботнет используется для осуществления разных видов DDoS-атак в зависимости от полученных с C&C-сервера команд.
Уязвимость CVE-2020-5722 в Grandstream полностью исправлена в версии 1.0.20.17, а CVE-2020-8515 в DrayTek исправлена в версии 1.5.1.
