Хакеры сломали по меньшей мере 6 000 роутеров TP-Link, отыскав «дыры» в прошивке, и превратив эти устройства в часть сети ботнета.
Как информирует «Kreschatic» со ссылкой на материал Cato CTRL, злонамеренная сеть Ballista пользуется уязвимостью RCE в TP-Link Archer AX-21 (CVE-2023-1389), и может запускать удаленный код, заражая другие «девайсы», большинство из которых расположены в Южной и Северной Америке.
Ботнет Ballista загружает вредоносное ПО на роутер и запускает скрипт, выполняющий бинарный файл: устанавливается канал управления (C2) через порт 82, открывающий злоумышленникам полноценный контроль над роутером — программа запускает ряд удаленных команд, DdoS-атаки и считывает.
В частности, поддерживаются команды для взлома: flooder (для DDoS-атак), exploiter (для эксплуатации «дыры» CVE-2023-1389), shell (для выполнения Linux-запросов) и killall (для отключения служб). Вредоносный скрипт также умеет скрывать следы своего присутствия, инфицируя другие маршрутизаторы.
Чтобы уберечь роутер TP-Link Archer AX-21, необходимо срочно установить последнюю версию прошивки, посетив официальный сайт китайского производителя.
