Новая версия ботнета Hoaxcalls эксплуатирует RCE-уязвимость в ZyXel

Новый вариант DDoS-ботнета Hoaxcalls, который может быть использован для крупномасштабных вредоносных кампаний, распространяется через неисправленную уязвимость , затрагивающую управление сетевой инфраструктурой ZyXEL Cloud CNM SecuManager.

Ботнет Hoaxcalls впервые был обнаружен специалистами из команды Unit 42 компании Palo Alto Networks в конце марта нынешнего года. Для ботнета были характерны три вектора DDoS-атак: UDP flood, DNS flood и HEX flood. Заражение устройств осуществлялось автоматически с помощью уязвимости удаленного выполнения кода в DrayTek Vigor2960 (CVE-2020-8515) и уязвимости удаленной SQL-инъекции в устройствах Grandstream UCM6200 (CVE-2020-5722).

В начале апреля был обнаружен новый образец Hoaxcalls, добавивший 16 новых векторов атак, однако он распространялся только через уязвимость CVE-2020-5722. Затем, на этой неделе, специалисты из Radware обнаружили третью версию Hoaxcalls, которая распространялась с 75 различных серверов, размещающих вредоносные программы.

Последний вариант Hoaxcalls эксплуатирует неисправленную уязвимость в ZyXEL Cloud CNM SecuManager, связанную со «злоупотреблением незащищенным API из-за небезопасных вызовов eval ():». Когда выполняется вызов API, выходные данные сохраняются в chroot-окружении «Axess», что позволяет злоумышленнику открыть оболочку «connect-back» и получить доступ к устройству.

Как отметили эксперты, наличие неисправленной уязвимости только расширяет число маршрутизаторов и IoT-устройств, которые могут быть заражены Hoaxcalls в будущем, поэтому количество векторов атак будет увеличиваться.