Ballista Botnet zneužívá neopravenou zranitelnost TP-Link a cílí na více než 6 000 zařízení

20 března, 2025

Neopravené routery TP-Link Archer se staly cílem nové botnetové kampaně nazvané Ballista, jak vyplývá z nových zjištění týmu Cato CTRL. „Botnet zneužívá zranitelnost vzdáleného spuštění kódu (RCE) v routerech TP-Link Archer (CVE-2023-1389) k automatickému šíření přes internet,“ uvedli bezpečnostní experti Ofek Vardi a Matan Mittelman v technické zprávě.

CVE-2023-1389 je vysoce závažná bezpečnostní chyba ovlivňující routery TP-Link Archer AX-21, která by mohla vést k injekci příkazů, což by následně umožnilo vzdálené spuštění kódu.

Nejstarší důkazy o aktivním zneužití této chyby pocházejí z dubna 2023, kdy ji neidentifikovaní útočníci použili k nasazení malwaru botnetu Mirai. Od té doby byla také zneužívána k šíření dalších rodin malwaru, jako jsou Condi a AndroxGh0st. Cato CTRL uvedl, že kampaň Ballista byla detekována 10. ledna 2025. Nejnovější pokus o zneužití byl zaznamenán 17. února.

Sekvence útoku zahrnuje použití malwarového dropperu, shell skriptu („dropbpb.sh“), který je navržen tak, aby stáhl a spustil hlavní binární soubor na cílovém systému pro různé systémové architektury, jako jsou mips, mipsel, armv5l, armv7l a x86_64.

Po spuštění malware vytvoří šifrovaný kanál pro příkazy a řízení (C2) na portu 82, aby převzal kontrolu nad zařízením.

„To umožňuje spouštět shell příkazy k provádění dalších útoků RCE a útoků typu denial-of-service (DoS),“ uvedli experti. „Kromě toho se malware pokouší číst citlivé soubory na lokálním systému.“

Některé z podporovaných příkazů jsou uvedeny níže:

– flooder, který spouští útok typu flood

– exploiter, který zneužívá CVE-2023-1389

– start, volitelný parametr používaný s exploiterem ke spuštění modulu

– close, který zastavuje modul spouštějící funkce

– shell, který spouští příkaz Linux shellu na lokálním systému

– killall, který se používá k ukončení služby

Kromě toho je malware schopen ukončit předchozí instance sebe sama a vymazat svou přítomnost po zahájení provádění. Je také navržen tak, aby se šířil na další routery pokusem o zneužití chyby.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS

Japonské konsorcium navrhuje plovoucí datové centrum v Jokohamě

Konsorcium japonských společností a finančních institucí plánuje vyvinout demonstrační projekt plovoucího datového centra u pobřeží Jokohamy v Japonsku. Konsorcium zahrnuje lodní společnost NYK Line, architektonickou

Číst dále »

18 dubna, 2025

Treasure Global Inc. vyvíjí AI cloudovou infrastrukturu v Malajsii

Treasure Global Inc. plánuje vyvinout a nasadit cloudovou infrastrukturu pro umělou inteligenci v Malajsii. Malajsijská technologická společnost odhalila své plány 24. března 2025 a zaměřuje

Číst dále »

18 dubna, 2025

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz

AVERIA.NEWS by AVERIA LTD. © 2024 – Osobní údaje – Cookies
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom