網(wǎng)絡(luò)安全公司Palo Alto Networks旗下威脅情報(bào)團(tuán)隊(duì)Unit 42于近日發(fā)文稱，在CVE-2020-8515（DrayTek Vigor企業(yè)級(jí)路由器漏洞）的POC于上個(gè)月被公開披露之后，立馬就遭到了一個(gè)新的DDoS僵尸網(wǎng)絡(luò)的利用。

進(jìn)一步分析表明，同時(shí)遭到該僵尸網(wǎng)絡(luò)利用的還有Grandstream UCM6200企業(yè)級(jí)交換機(jī)漏洞——CVE-2020-5722。相關(guān)資料顯示，CVE-2020-8515和CVE-2020-5722的CVSS v3.1評(píng)分均為9.8（滿分為10）。一旦被成功利用，攻擊者便可以在尚未安裝對應(yīng)補(bǔ)丁的設(shè)備上執(zhí)行任意命令。

DDoS僵尸網(wǎng)絡(luò)——Hoaxcalls

根據(jù)Unit 42團(tuán)隊(duì)的說法，新的僵尸病毒建立在Gafgyt/Bashlite惡意軟件家族的代碼基礎(chǔ)之上，組建的僵尸網(wǎng)絡(luò)可用于發(fā)起各種DDoS攻擊。基于用于命令和控制（C2）通信的IRC通道的名稱，它被命名為“Hoaxcalls”。

圖1.通過IRC與C2通信

圖2.Hoaxcalls支持的命令

圖3.Flooder命令

漏洞分析

CVE-2020-8155

由于可執(zhí)行文件“/www/cgi-bin/mainfunction.cgi”在身份驗(yàn)證期間未能正確過濾keyPath參數(shù)，從而導(dǎo)致了可利用的命令注入。具體來講，該漏洞允許攻擊者通過在有效載荷中加入特殊字符（如“%27%0A”）來繞過檢查并實(shí)現(xiàn)預(yù)身份驗(yàn)證命令執(zhí)行。

圖4.Hoaxcalls group 1中的CVE-2020-8515漏洞利用代碼

圖5.Hoaxcalls group 2中的CVE-2020-8515漏洞利用代碼

圖6.Hoaxcalls group 3中的CVE-2020-8515漏洞利用代碼

CVE-2020-5722

由于系統(tǒng)未能正確驗(yàn)證“user_name”參數(shù)，導(dǎo)致當(dāng)“Forgot Password”功能查詢后端SQLite數(shù)據(jù)庫和通popen()調(diào)用sendMail.py時(shí)會(huì)導(dǎo)致SQL注入。具體來講，該漏洞允許攻擊者在默認(rèn)用戶名（如“admin”）后跟特殊的SQL字符串和shell元字符“or 1=1–”來實(shí)現(xiàn)命令執(zhí)行。

根據(jù)官方漏洞公告，該漏洞可以通過html注入來利用。

圖7.Hoaxcalls group 1中的CVE-2020-5722漏洞利用代碼

圖8.Hoaxcalls group 2中的CVE-2020-5722漏洞利用代碼

圖9.Hoaxcalls group 3中的CVE-2020-5722漏洞利用代碼

結(jié)語

Unit 42團(tuán)隊(duì)表示，Hoaxcalls僵尸網(wǎng)絡(luò)正在瘋狂利用上述兩個(gè)漏洞壯大自己。換句話來說，眾多尚未安裝對應(yīng)補(bǔ)丁的Grandstream UCM6200和DrayTek Vigor設(shè)備正在淪為“肉雞”。

Hoaxcalls的迅速壯大再次提醒我們，大家一定要及時(shí)安裝官方發(fā)布的漏洞補(bǔ)丁，尤其是在漏洞POC被公開披露之后，否則很有可能遭受重大損失。