Una nueva botnet denominada “Ballista” está explotando una vulnerabilidad en los routers TP-Link Archer AX21, según descubrieron investigadores de Cato Networks. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) confirmó la explotación activa de esta debilidad y ha instado a las agencias civiles a aplicar los parches correspondientes.
Este malware aprovecha la falla de firmware identificada como CVE-2023-1389, permitiendo la propagación automática a través de dispositivos no actualizados. Específicamente, se trata de una inyección de comandos, lo que significa que un atacante puede ejecutar instrucciones arbitrarias en un sistema o aplicación objetivo. Tiene una puntuación de severidad CVSS de 8.8 sobre 10.
Hasta el momento, “Ballista” ha afectado a sectores como manufactura, salud, servicios y tecnología en países como EE. UU., Australia, China y México.
Los investigadores creen que el autor del malware podría estar en Italia, basándose en la ubicación de la dirección IP del servidor de comando y control (C2), así como en cadenas de texto en italiano presentes en el código del malware.
A diferencia de otras botnets centradas en ataques DDoS, «Ballista» parece tener objetivos más amplios, lo que aumenta las preocupaciones sobre su posible impacto. Este tipo de vulnerabilidades han sido explotadas repetidamente en el pasado y, aunque se han realizado esfuerzos para mitigar estos ataques —como la operación “Endgame”—, la falta de aplicación de parches sigue siendo un factor crítico en su persistencia.


Referencias:
https://therecord.media/ballista-botnet-tp-link-archer-routers?utm_medium=email&_hsmi=351532657&utm_content=351534204&utm_source=hs_email
https://therecord.media/mirai-botnet-hackers-targeting-tplink
https://therecord.media/tp-link-router-vulnerability-botnets
https://therecord.media/dropper-malware-takedown-europol-operation-endgame
https://therecord.media/routers-from-tp-link-security-commerce-department
https://www.cve.org/CVERecord?id=CVE-2023-1389