又見DDoS僵尸網絡，一大波路由器、交換機淪為“肉雞”DDoS僵尸網絡——Hoaxcalls漏洞分析結語

發布時間：2023-07-03 14:02:18 作者：網友整理

又見DDoS僵尸網絡，一大波路由器、交換機淪為“肉雞”

網絡安全公司Palo Alto Networks旗下威脅情報團隊Unit 42于近日發文稱，在CVE-2020-8515（DrayTek Vigor企業級路由器漏洞）的POC于上個月被公開披露之后，立馬就遭到了一個新的DDoS僵尸網絡的利用。

進一步分析表明，同時遭到該僵尸網絡利用的還有Grandstream UCM6200企業級交換機漏洞——CVE-2020-5722。相關資料顯示，CVE-2020-8515和CVE-2020-5722的CVSS v3.1評分均為9.8（滿分為10）。一旦被成功利用，攻擊者便可以在尚未安裝對應補丁的設備上執行任意命令。

DDoS僵尸網絡——Hoaxcalls

根據Unit 42團隊的說法，新的僵尸病毒建立在Gafgyt/Bashlite惡意軟件家族的代碼基礎之上，組建的僵尸網絡可用于發起各種DDoS攻擊。基于用于命令和控制（C2）通信的IRC通道的名稱，它被命名為“Hoaxcalls”。

圖1.通過IRC與C2通信

圖2.Hoaxcalls支持的命令

圖3.Flooder命令

漏洞分析

CVE-2020-8155

由于可執行文件“/www/cgi-bin/mainfunction.cgi”在身份驗證期間未能正確過濾keyPath參數，從而導致了可利用的命令注入。具體來講，該漏洞允許攻擊者通過在有效載荷中加入特殊字符（如“%27%0A”）來繞過檢查并實現預身份驗證命令執行。

圖4.Hoaxcalls group 1中的CVE-2020-8515漏洞利用代碼

圖5.Hoaxcalls group 2中的CVE-2020-8515漏洞利用代碼

圖6.Hoaxcalls group 3中的CVE-2020-8515漏洞利用代碼

CVE-2020-5722

由于系統未能正確驗證“user_name”參數，導致當“Forgot Password”功能查詢后端SQLite數據庫和通popen()調用sendMail.py時會導致SQL注入。具體來講，該漏洞允許攻擊者在默認用戶名（如“admin”）后跟特殊的SQL字符串和shell元字符“or 1=1–”來實現命令執行。

根據官方漏洞公告，該漏洞可以通過html注入來利用。