Ботнет Hoaxcalls атакует устройства Grandstream - «Новости»

Специалисты компании Palo Alto Networks предупреждают, что ботнет Hoaxcalls активно эксплуатирует недавно исправленную уязвимость в устройствах Grandstream серии UCM6200. Ботнет Hoaxcalls построен на исходниках малвари Gafgyt/Bashlite и в основном используется для DDoS-атак.

Проблема, о которой идет речь, имеет идентификатор CVE-2020-5722 и оценивается как критическая (9,8 балла по шкале оценки уязвимостей CVSS).  Уязвимость связана с интерфейсом HTTP в устройствах IP-АТС Grandstream.

Эксперты компании Tenable, обнаружившие этот баг, описывали его как неаутентифицированную удаленную SQL-инъекцию. Уязвимость можно использовать с помощью специально созданного HTTP-запроса, который в итоге позволит злоумышленнику выполнять shell-команды с root-правами (версии до 1.0.19.20) или осуществлять инжекты HTML-кода в электронные письма для восстановления паролей (версии до 1.0.20.17).

Корень проблемы заключается в том, что функция восстановления забытого пароля в веб-интерфейсе устройств UCM6200 принимает имя пользователя в качестве входных данных и ищет его в базе данных SQLite. Подставив вместо username определенную строку кода, злоумышленник может осуществить SQL-инъекцию, чтобы создать обратный shell для удаленного выполнения кода или добавить произвольный HTML-код в электронное письмо для восстановления пароля, которое будет отправлено пользователю.

Как сообщают эксперты Palo Alto Networks, уже более недели ботнет Hoaxcalls активно использует эту уязвимость, а затем применяет зараженные устройства для DDoS-атак. Также ботнет атакует и маршрутизаторы Draytek Vigor, заражая их через другую критическую уязвимость (CVE-2020-8515), о которой мы рассказывали недавно.