網絡安全公司Palo Alto Networks旗下威脅情報團隊Unit 42於近日發文稱,在CVE-2020-8515(DrayTek Vigor企業級路由器漏洞)的POC於上個月被公開披露之後,立馬就遭到了一個新的DDoS殭屍網絡的利用。
進一步分析表明,同時遭到該殭屍網絡利用的還有Grandstream UCM6200企業級交換機漏洞——CVE-2020-5722。相關資料顯示,CVE-2020-8515和CVE-2020-5722的CVSS v3.1評分均為9.8(滿分為10)。一旦被成功利用,攻擊者便可以在尚未安裝對應補丁的設備上執行任意命令。
DDoS殭屍網絡——Hoaxcalls
根據Unit 42團隊的說法,新的殭屍病毒建立在Gafgyt/Bashlite惡意軟件家族的代碼基礎之上,組建的殭屍網絡可用於發起各種DDoS攻擊。基於用於命令和控制(C2)通信的IRC通道的名稱,它被命名為“Hoaxcalls”。
圖1.通過IRC與C2通信
圖2.Hoaxcalls支持的命令
圖3.Flooder命令
漏洞分析
CVE-2020-8155
由於可執行文件“/www/cgi-bin/mainfunction.cgi”在身份驗證期間未能正確過濾keyPath參數,從而導致了可利用的命令注入。具體來講,該漏洞允許攻擊者通過在有效載荷中加入特殊字符(如“%27%0A”)來繞過檢查並實現預身份驗證命令執行。
圖4.Hoaxcalls group 1中的CVE-2020-8515漏洞利用代碼
圖5.Hoaxcalls group 2中的CVE-2020-8515漏洞利用代碼
圖6.Hoaxcalls group 3中的CVE-2020-8515漏洞利用代碼
CVE-2020-5722
由於系統未能正確驗證“user_name”參數,導致當“Forgot Password”功能查詢後端SQLite數據庫和通popen()調用sendMail.py時會導致SQL注入。具體來講,該漏洞允許攻擊者在默認用戶名(如“admin”)後跟特殊的SQL字符串和shell元字符“or 1=1–”來實現命令執行。
根據官方漏洞公告,該漏洞可以通過HTML注入來利用。
圖7.Hoaxcalls group 1中的CVE-2020-5722漏洞利用代碼
圖8.Hoaxcalls group 2中的CVE-2020-5722漏洞利用代碼
圖9.Hoaxcalls group 3中的CVE-2020-5722漏洞利用代碼
結語
Unit 42團隊表示,Hoaxcalls殭屍網絡正在瘋狂利用上述兩個漏洞壯大自己。換句話來說,眾多尚未安裝對應補丁的Grandstream UCM6200和DrayTek Vigor設備正在淪為“肉雞”。
Hoaxcalls的迅速壯大再次提醒我們,大家一定要及時安裝官方發佈的漏洞補丁,尤其是在漏洞POC被公開披露之後,否則很有可能遭受重大損失。
閱讀更多 黑客視界 的文章
