Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Hoaxcalls атакует устройства Grandstream UCM6200 через исправленную уязвимость

13/04/20

connect this

Ботнет Hoaxcalls активно атакует устройства Grandstream UCM6200 через исправленную недавно уязвимость CVE-2020-5722. Проблема затрагивает HTTP-интерфейс систем IP PBX и является критической (9,8 балла по шкале CVSS3.1). С ее помощью злоумышленник может осуществить SQL-инъекцию через особым образом сконфигурированный HTTP-запрос и выполнить команду оболочки с привилегиями суперпользователя (в версиях до 1.0.19.20) или внедрить HTML-код в электронное письмо для восстановления пароля (в версиях до 1.0.20.17).

Функция восстановления пароля в web-интерфейсе устройств Grandstream UCM6200 принимает имя пользователя в качестве входных данных и проверяет его наличие в базе данных SQLite. Используя в качестве имени пользователя определенную строку кода, атакующий может осуществить SQL-инъекцию и создать обратную оболочку для удаленного выполнения кода или ввести произвольный HTML-код в отправленное жертве электронное письмо для восстановления пароля.

Как сообщают исследователи компании Palo Alto Networks, уже более недели операторы Hoaxcalls активно атакуют устройства через уязвимость CVE-2020-5722, добавляют их в свой ботнет и используют для осуществления DDoS-атак. Злоумышленники также атакуют маршрутизаторы Draytek Vigor через другую критическую уязвимость (CVE-2020-8515).

Вредоносное ПО Hoaxcalls создано на базе кода семейства Gafgyt/Bashlite и распространяется автоматически через уязвимости в устройствах Grandstream и DrayTek. Ботнет используется для осуществления разных видов DDoS-атак в зависимости от полученных с C&C-сервера команд.

Уязвимость CVE-2020-5722 в Grandstream полностью исправлена в версии 1.0.20.17, а CVE-2020-8515 в DrayTek исправлена в версии 1.5.1.

Темы:ПреступленияботнетPalo Alto Networks
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...