Le botnet Hoaxcalls exploite une vulnérabilité de Zyxel

Une nouvelle variante du botnet Hoaxcalls, qui peut être utilisée pour des campagnes de déni de service distribué (DDoS) à grande échelle, se propage via une vulnérabilité non patchée affectant ZyXEL Cloud CNM SecuManager qui a été révélée le mois dernier.

Les chercheurs de Radware ont également souligné la rapidité avec laquelle les opérateurs d’Hoaxcalls se sont mobilisés pour militariser la faille de ZyXel, qui, à l’heure actuelle, n’a toujours pas été adressée par la compagnie en question.

La montée de Hoaxcalls

Le botnet Hoaxcalls est apparu pour la première fois à la fin du mois de Mars, en tant que variante de la famille Gafgyt/Bashlite, il porte le nom du domaine utilisé pour héberger son malware, Hoaxcalls.pw.

Selon les chercheurs de Palo Alto Unit 42 qui l’ont découvert, l’échantillon d’origine comportait trois vecteurs d’attaque DDoS: UDP, DNS et HEX. Ils ont aussi observé que des périphériques étaient infectés par deux vulnérabilités: une vulnérabilité d’exécution de code à distance (RCE) DrayTek Vigor2960 et une faille d’injection SQL à distance GrandStream Unified Communications (CVE-2020-5722). Les exploits HTTP pour les failles ont utilisé une valeur d’en-tête User-Agent commune, «XTC», qui a été vue dans une précédente activité d’une variante de Mirai.

mirai hoaxcalls

Début Avril, un nouvel échantillon de Hoaxcalls est apparu et a été récupéré par Radware. Il contenait 16 nouveaux vecteurs d’attaque pour un total de 19, mais cet échantillon ne se propagait que via la faille GrandStream CVE-2020-5722 et n’avait pas la valeur d’en-tête XTC. Dans les 48 heures suivant la découverte, 15 adresses IP uniques hébergeaient le logiciel malveillant.

La semaine dernière, le 20 avril, les chercheurs de Radware ont repéré une troisième itération de Hoaxcalls diffusés à partir de 75 serveurs d’hébergement de logiciels malveillants. Il a le même nombre de vecteurs d’attaque (19) que la deuxième variante, et utilise également l’en-tête User-Agent “XTC” vu dans la version initiale.

“Bien que les variantes de botnet IoT soient courantes, ces échantillons mettent en évidence non seulement la vitesse à laquelle les criminels se mobilisent, mais également la profondeur et la portée des campagnes menées par les opérateurs DDoS”, ont noté des chercheurs de Radware, dans leur analyse.

La faille d’exécution de code à distance de Zyxel

La variante du 20 avril utilise notamment une vulnérabilité non patchée dans le ZyXEL Cloud CNM SecuManager, qui est une application de gestion de réseau conçue pour fournir une console intégrée qui permet de surveiller et gérer les passerelles de sécurité.

zyxel mukashi

En Mars, plusieurs failles ont été découvertes sur la plate-forme par les chercheurs en sécurité Pierre Kim et Alexandre Torres. Selon leur rapport de l’époque, les versions 3.1.0 et 3.1.1 de Zyxel CNM SecuManager sont vulnérables et leur dernière mise à jour datait de novembre 2018.

La faille que Hoaxcalls exploite spécifiquement peut être exploité via des appels d’API qui abusent du chemin «/live/CPEManager/AXCampaignManager/delete_cpes_by_ids? Cpe_ids=» selon Radware.

En creusant plus profondément, Kim et Torres ont décrit cette faille comme «abusant d’une API non sécurisée en raison d’appels non sécurisés à eval ():». Lorsqu’un appel API est effectué, la sortie est stockée dans le chroot «Axess», qui, selon les chercheurs, permet finalement d’ouvrir un shell «connect-back», donnant accès à l’application.

Un chroot est une opération pour changer un répertoire racine pour un processus en cours et ses répertoires dépendants sur les systèmes d’exploitation Unix.

«Même si le shell se trouve dans un environnement chrooté, il est possible de casser le chroot en utilisant une élévation de privilèges locaux et le fait que /proc est monté à l’intérieur du chroot», ont écrit Kim et Torres.

L’ajout de l’exploit de cette faille non-patchée ne fait qu’augmenter le nombre de routeurs et d’appareils IoT qui peuvent être utilisés par Hoaxcalls à l’avenir, ont noté les chercheurs de Radware – ajoutant qu’ils s’attendent à ce que la surface d’attaque continue de s’élargir.

“Les campagnes réalisées par le pirate ou le groupe derrière XTC et Hoaxcalls incluent plusieurs variantes utilisant différentes combinaisons d’exploits de propagation et de vecteurs d’attaque DDoS”, ont expliqué les chercheurs de Radware dans l’analyse. «Nous pensons que le groupe derrière cette campagne se consacre à trouver et à exploiter de nouveaux exploits dans le but de construire un botnet pouvant être exploité pour des attaques DDoS à grande échelle.»

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x