EwDoor Botnet

Una nuova minaccia botnet denominata EwDoor Botnet ha infettato i dispositivi edge della rete aziendale AT&T non protetti. La minaccia sfrutta una vulnerabilità critica di quattro anni tracciata come CVE-2017-6079. L'exploit consente agli aggressori di ottenere un accesso root senza restrizioni ai dispositivi miratia distanza.

Il modello specifico attaccato nella recente campagna è EdgeMarc Enterprise Session Border Controller. Tali dispositivi sono comunemente utilizzati dalle PMI (piccole e medie imprese) per proteggere e gestire varie attività, come telefonate, videoconferenze o altri canali di comunicazione in tempo reale. Poiché fungono da ponte tra le organizzazioni e i loro ISP, questi controller di confine di sessione sono obiettivi primari per gli attori delle minacce che desiderano lanciare attacchi DDoS (Distributed Denial-of-Service) e raccogliere informazioni sensibili.

Migliaia di dispositivi compromessi

I ricercatori del Network Security Research Lab di Qihoo 360 hanno rilevato per primi la minaccia Botnet EwDoor. Sono stati anche in grado di identificare uno dei server Command-and-Control (C2, C&C) degli attori della minaccia. In sole tre ore, i ricercatori sono stati in grado di identificare circa 5.700 dispositivi infetti. Successivamente, gli hacker sono passati a una comunicazione C2 diversa. Controllando i certificati SSI dei dispositivi, 360 Netlab ha scoperto che circa 100.000 indirizzi IP utilizzavano lo stesso certificato SSI.

Capacità minacciose

L'analisi della funzionalità della minaccia rivela che è principalmente orientata al lancio di attacchi DDoS e alla creazione di una backdoor che si connette alla rete della vittima. Le attuali versioni di EwDoor Botnet sono dotate di sei funzioni principali. Può aggiornarsi, cercare porte, manipolare il file system, eseguire attacchi DDoS, avviare shell inverse e consentire agli aggressori di eseguire comandi arbitrari sui server violati.

AT&T ha dichiarato di essere a conoscenza del problema e di aver adottato misure per mitigarne l'impatto. Finora, la società non ha trovato prove che i dati dei suoi clienti siano stati compromessi.