Especialistas da Palo Alto Networks avisar que o botnet Hoaxcalls ataca a vulnerabilidade recentemente corrigida nos dispositivos da série Grandstream UCM6200.
O botnet Hoaxcalls é baseado no código-fonte do malware Gafgyt/Bashlite e é usado principalmente para ataques DDoS.
“O malware é baseado na base de código da família de malware Gafgyt/Bashlite, que apelidamos de “Hoaxcalls”, baseado no nome do canal IRC usado para comando e controle (C2) comunicações, e é capaz de lançar uma variedade de ataques DDoS com base nos comandos C2 recebidos.”, - escrevem pesquisadores da Palo Alto Networks.
O problema em questão tem o identificador CVE-2020-5722 e é classificado como crítico (9.8 pontos na escala de classificação de vulnerabilidade CVSS). A vulnerabilidade está relacionada à interface HTTP em dispositivos IP-PBX Grandstream.
Especialistas da Tenable que descobriram esse bug descreveu como uma injeção SQL remota não autenticada.
“A vulnerabilidade pode ser explorada usando uma solicitação HTTP especialmente criada, o que eventualmente permitirá que um invasor execute comandos shell com privilégios de root (versões anteriores a 1.0.19.20) ou injetar código HTML em e-mails para recuperar senhas (versões anteriores a 1.0.20.17 )”, — disseram pesquisadores da Tenable.
A raiz do problema é que a função de senha esquecida na interface web do UCM6200 aceita o nome de usuário como entrada e o procura no banco de dados SQLite. Substituindo uma determinada linha de código por nome de usuário, o invasor pode realizar injeção de SQL para criar um shell reverso para execução remota de código ou adicionar código HTML arbitrário ao e-mail de recuperação de senha que será enviado ao usuário.
De acordo com especialistas da Palo Alto Networks, por mais de uma semana, o botnet Hoaxcalls tem explorado ativamente esta vulnerabilidade, e então usa dispositivos infectados para ataques DDoS. A botnet também ataca roteadores Draytek Vigor, infectando-os através de outra vulnerabilidade crítica (CVE-2020-8515).
“As vulnerabilidades CVE-2020-8515 e CVE-2020-5722 são classificadas como críticas, em particular devido à sua facilidade de operação. Depois de usar [essas vulnerabilidades], um invasor pode executar comandos arbitrários no dispositivo. Não é surpreendente que os hackers tenham expandido seus arsenais com essas explorações e começado a causar estragos na esfera da IoT.,”- dizem os especialistas.
Chamadas falsas, uma nova botnet DDOS, está explorando ativamente duas vulnerabilidades que têm ampla exposição em ambientes ao redor do mundo. Essas mesmas vulnerabilidades também estão sendo exploradas ativamente em ataques adicionais, de acordo com outras organizações de pesquisa de segurança. Infelizmente, eles também são facilmente explorados e levam à execução remota de código; as such we advise everyone to patch as soon as possible.
Lembre-se de que os colegas criminosos dos usuários do Hoaxcalls – Operadores de malware Lemon Duck também atacam dispositivos IoT.