Злоумышленники взламывали необновленные серверы EdgeMarc через уязвимость CVE-2017-6079.
https://www.securitylab.ru/upload/ib...daa652e069.jpg
Американская телекоммуникационная компания AT&T "приняла меры по устранению" ботнета, состоящего более чем из 5,7 тыс. VoIP-серверов в ее сети.
Как сообщили представители AT&T изданию The Record, все зараженные устройства - это EdgeMarc Enterprise Session Border Controllers. VoIP-серверы такого типа предназначены для балансировки и маршрутизации трафика интернет-телефонии от более мелких корпоративных пользователей до операторов связи.
По данным подразделения Netlab китайского техногиганта Qihoo 360, злоумышленники взламывали необновленные серверы EdgeMarc через старую уязвимость CVE-2017-6079 и устанавливали модульное вредоносное ПО EwDoor. Все взломанные серверы находятся на территории США.
Китайская ИБ-компания сообщила , что отслеживает ботнет EwDoor и его атаки с конца октября 2021 года, и с того времени вышло как минимум три версии вредоноса.
Как показал анализ вредоносной программы, она обладает функцией бэкдора и позволяет осуществлять DDoS-атаки. По мнению специалистов Netlab, целью хакеров является похищение с уязвимых серверов конфиденциальной информации, такой как журналы VoIP-звонков. Однако в AT&T заявляют, что никаких подтверждений заявлению Netlab не обнаружено.
"У нас нет никаких свидетельств того, что был получен доступ к данным пользователей", - сообщили в компании.
Как пояснили специалисты Netlab, цифра 5,7 тыс. была получена в короткий период видимости операций ботнета 8 ноября.
В настоящее время к интернету подключено порядка 100 тыс. устройств, использующих тот же SSL-сертификат, что и VoIP-серверы EdgeMarc, однако неизвестно, сколько из них уязвимы к CVE-2017-6079.