Специалисты компании Palo Alto Networks предупреждают, что ботнет Hoaxcalls активно эксплуатирует недавно исправленную уязвимость в устройствах Grandstream серии UCM6200. Ботнет Hoaxcalls построен на исходниках малвари Gafgyt/Bashlite и в основном используется для DDoS-атак.
Проблема, о которой идет речь, имеет идентификатор CVE-2020-5722 и оценивается как критическая (9,8 балла по шкале оценки уязвимостей CVSS). Уязвимость связана с интерфейсом HTTP в устройствах IP-АТС Grandstream.
Эксперты компании Tenable, обнаружившие этот баг, описывали его как неаутентифицированную удаленную SQL-инъекцию. Уязвимость можно использовать с помощью специально созданного HTTP-запроса, который в итоге позволит злоумышленнику выполнять shell-команды с root-правами (версии до 1.0.19.20) или осуществлять инжекты HTML-кода в электронные письма для восстановления паролей (версии до 1.0.20.17).
Корень проблемы заключается в том, что функция восстановления забытого пароля в веб-интерфейсе устройств UCM6200 принимает имя пользователя в качестве входных данных и ищет его в базе данных SQLite. Подставив вместо username определенную строку кода, злоумышленник может осуществить SQL-инъекцию, чтобы создать обратный shell для удаленного выполнения кода или добавить произвольный HTML-код в электронное письмо для восстановления пароля, которое будет отправлено пользователю.
Как сообщают эксперты Palo Alto Networks, уже более недели ботнет Hoaxcalls активно использует эту уязвимость, а затем применяет зараженные устройства для DDoS-атак. Также ботнет атакует и маршрутизаторы Draytek Vigor, заражая их через другую критическую уязвимость (CVE-2020-8515), о которой мы рассказывали недавно.
«Уязвимости CVE-2020-8515 и CVE-2020-5722 обе оцениваются как критические, в том числе из-за легкости их эксплуатации. После использования [этих уязвимостей] злоумышленник может выполнить произвольные команды на устройстве. Неудивительно, что хакеры пополнили свои арсеналы этими эксплоитами и начали сеять хаос в сфере IoT», — резюмируют эксперты.
