A botnet Ballista atingiu roteadores Archer AX21 da TP-Link, explorando a vulnerabilidade
CVE-2023-1389
que permite a execução de código.
Brasil, Polônia, Reino Unido, Bulgária e Turquia foram os principais países afetados pelos ataques DDoS perpetrados pela botnet.
Para remediar a falha de segurança, é crucial a atualização do firmware do roteador TP-Link Archer AX21.
A descoberta dessa atividade maliciosa foi feita pela empresa de cibersegurança Cato Networks, que identificou a botnet, nomeada de Ballista.
O Brasil destaca-se como um importante vetor dessa atividade, com dispositivos no país sendo usados nos ataques.
A campanha foi detectada pela primeira vez no dia 10 de janeiro, com indícios apontando para um grupo cracker na Itália, dada a origem do IP e a presença de strings em italiano no malware.
A botnet Ballista opera através da exploração da vulnerabilidade de execução de código no roteador TP-Link Archer AX21, permitindo que um malware seja injetado e executado no equipamento.
O malware visa infectar outros dispositivos pela internet, utilizando a vulnerabilidade
CVE-2023-1389
— com "2023" indicando o ano de descoberta da falha.
Botnets como Mirai, Condi e AndroxGh0St também exploraram essa vulnerabilidade para infectar dispositivos, inclusive os de Internet das Coisas (IoT), que eram alvos da Ballista.
Com o controle da botnet, o grupo cracker executava ataques DDoS, sobrecarregando vítimas com um volume massivo de requisições simultâneas.
Alvos incluíam operadoras de plano de saúde, empresas de tecnologia e fabricantes localizados no México, Estados Unidos, Austrália e China.
A maioria dos dispositivos infectados está situada em Brasil, Polônia, Reino Unido, Bulgária e Turquia, com a última atividade registrada da botnet datada de 17 de fevereiro.
Até o fim de 2024, surgiu nos Estados Unidos a discussão sobre a possibilidade de proibir a venda de roteadores da TP-Link devido a preocupações com a segurança.
Em resposta à situação, a TP-Link Brasil esclareceu que seus roteadores são regularmente atualizados com novo firmware.
O modelo mencionado não é homologado pela Anatel nem vendido oficialmente no Brasil, destacando que a informação se refere a operações da TP-Link fora do país.
A companhia também informou que, para os usuários cujos roteadores estejam associados a uma conta TP-Link ID ou que suportem o serviço TP-Link Cloud, serão enviadas notificações automáticas sobre disponibilidade de atualizações através da interface de administração dos dispositivos.
Os usuários podem então atualizar o firmware navegando pela interface web do roteador, conforme as orientações disponíveis no site oficial da TP-Link.
Para corrigir a vulnerabilidade no TP-Link Archer AX21, é necessário atualizar o firmware, seguindo as instruções disponíveis no site da TP-Link.
Contudo, a disponibilidade do firmware pode variar conforme a região.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...