Новая версия ботнета Hoaxcalls эксплуатирует RCE-уязвимость в ZyXel

Новый вариант DDoS-ботнета Hoaxcalls, который может быть использован для крупномасштабных вредоносных кампаний, распространяется через неисправленную уязвимость, затрагивающую управление сетевой инфраструктурой ZyXEL Cloud CNM SecuManager.

Ботнет Hoaxcalls впервые был обнаружен специалистами из команды Unit 42 компании Palo Alto Networks в конце марта нынешнего года. Для ботнета были характерны три вектора DDoS-атак: UDP flood, DNS flood и HEX flood. Заражение устройств осуществлялось автоматически с помощью уязвимости удаленного выполнения кода в DrayTek Vigor2960 (CVE-2020-8515) и уязвимости удаленной SQL-инъекции в устройствах Grandstream UCM6200 (CVE-2020-5722).

В начале апреля был обнаружен новый образец Hoaxcalls, добавивший 16 новых векторов атак, однако он распространялся только через уязвимость CVE-2020-5722. Затем, на этой неделе, специалисты из Radware обнаружили третью версию Hoaxcalls, которая распространялась с 75 различных серверов, размещающих вредоносные программы.

Последний вариант Hoaxcalls эксплуатирует неисправленную уязвимость в ZyXEL Cloud CNM SecuManager, связанную со «злоупотреблением незащищенным API из-за небезопасных вызовов eval ():». Когда выполняется вызов API, выходные данные сохраняются в chroot-окружении «Axess», что позволяет злоумышленнику открыть оболочку «connect-back» и получить доступ к устройству.

Как отметили эксперты, наличие неисправленной уязвимости только расширяет число маршрутизаторов и IoT-устройств, которые могут быть заражены Hoaxcalls в будущем, поэтому количество векторов атак будет увеличиваться.