6,000 thiết bị Router TP-Link bị khai tác lỗ hổng bảo mật bởi Ballista Botnet

6,000 thiết bị Router TP-Link bị khai tác lỗ hổng bảo mật bởi Ballista Botnet

​Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch botnet mới mang tên Ballista, lợi dụng lỗ hổng chưa được vá (CVE-2023-1389) trên các bộ định tuyến TP-Link Archer để tấn công hơn 6.000 thiết bị trên toàn cầu.

CVE-2023-1389 là một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các bộ định tuyến TP-Link Archer AX-21 có thể dẫn đến việc tiêm lệnh, sau đó có thể mở đường cho việc thực thi mã từ xa.
Bằng chứng sớm nhất về việc khai thác tích cực lỗ hổng này có từ tháng 4 năm 2023, với các tác nhân đe dọa không xác định sử dụng nó để thả phần mềm độc hại botnet Mirai. Kể từ đó, nó cũng đã bị lạm dụng để phát tán các họ phần mềm độc hại khác như Condi và AndroxGh0st.

Lỗ hổng CVE-2023-1389 cho phép kẻ tấn công thực thi mã từ xa trên các bộ định tuyến TP-Link Archer AX-21, dẫn đến việc chiếm quyền điều khiển thiết bị. Ballista khai thác lỗ hổng này bằng cách sử dụng một tập lệnh độc hại ("dropbpb.sh") để tải xuống và thực thi mã độc trên hệ thống mục tiêu. Sau khi xâm nhập, mã độc thiết lập kênh liên lạc mã hóa với máy chủ điều khiển, cho phép thực hiện các lệnh từ xa và tấn công từ chối dịch vụ (DoS).

Một tìm kiếm trên nền tảng quản lý bề mặt tấn công Censys cho thấy hơn 6.000 thiết bị bị Ballista nhắm mục tiêu. Các thiết bị dễ bị tấn công tập trung ở Brazil, Ba Lan, Vương quốc Anh, Bulgaria và Thổ Nhĩ Kỳ.

Mạng botnet này được phát hiện nhắm mục tiêu vào các tổ chức sản xuất, y tế/chăm sóc sức khỏe, dịch vụ và công nghệ tại Hoa Kỳ, Úc, Trung Quốc và Mexico.

Để bảo vệ thiết bị của bạn khỏi các cuộc tấn công như Ballista, hãy đảm bảo rằng firmware của bộ định tuyến luôn được cập nhật phiên bản mới nhất, sử dụng mật khẩu mạnh và thay đổi mặc định, cũng như vô hiệu hóa các dịch vụ quản lý từ xa nếu không cần thiết.

Hương - Theo TheHackerNews