Resumo
- A botnet Ballista infectou roteadores Archer AX21 da TP-Link, explorando uma vulnerabilidade de execução de código CVE-2023-1389.
- Brasil, Polônia, Reino Unido, Bulgária e Turquia foram os mais afetados pela botnet que realizava ataques DDoS.
- A atualização de firmware do TP-Link Archer AX21 é necessária para solucionar a falha de segurança.
A empresa de cibersegurança Cato Networks revelou nesta semana um ataque a roteadores da TP-Link que permitiu a criação de uma botnet, batizada de Ballista pela companhia. O Brasil tem papel central nesta atividade maliciosa, já que aparelhos localizados no país participam dos ataques.
A empresa detectou a campanha no dia 10 de janeiro. Segundo a Cato, o ataque foi organizado por algum grupo cracker localizado na Itália, já que o IP levaria àquele país e há strings em italiano no malware.
A Cato explica que a botnet Ballista utiliza uma vulnerabilidade de execução de código nos roteadores TP-Link Archer AX-21. Usando outro ataque do tipo injeção de comando, um malware era baixado e executado no dispositivo. Esse malware então tentava infectar outros dispositivos pela internet usando a vulnerabilidade CVE-2023-1389 — o 2023 indica o ano de descoberta da falha.
Outras campanhas de botnets, como o Mirai, Condi e AndroxGh0St, utilizavam a mesma vulnerabilidade para infectar dispositivos. Vale lembrar que botnets também são capazes de infectar dispositivos de internet das coisas — a Ballista também os tinha como alvo.
Com a botnet, o grupo cracker realizava ataques DDoS – em que muitas requisições simultâneas são feitas –contra operadoras de plano de saúde, empresas de tecnologia e fábricas, entre outros alvos. Os alvos ficam localizados no México, Estados Unidos, Austrália e China.
Quais são os lugares mais afetados pela botnet?
Segundo a Cato, a maioria dos roteadores infectados estão no Brasil, Polônia, Reino Unido, Bulgária e Turquia. Sim, o uso do verbo “estar” no presente está correto. A última ação da botnet ocorreu em 17 de fevereiro.
No fim de 2024, os Estados Unidos levantaram a hipótese de proibir a venda de roteadores da TP-Link no país por conta dos riscos de segurança.
Como corrigir a falha no meu roteador TP-Link Archer AX-21?
É necessário atualizar o firmware do TP-Link Archer AX-21 para solucionar a brecha. Isso pode ser feito a partir das instruções no site da TP-Link. Todavia, existe a possibilidade do firmware não estar disponível para o Brasil, já que ele é liberado por regiões.
Com informações de Cato Networks e Tom’s Guide
Fonte: Tecnoblog
