Bài viết từ GBHackers.com thảo luận về việc các hacker nhắm tới một lỗ hổng trong các bộ định tuyến TP-Link Archer. Dưới đây là các điểm chính:
1. Khai thác lỗ hổng:
- Lỗ hổng bị khai thác là CVE-2023-1389, một lỗi thực thi mã từ xa (RCE) trong API địa phương của giao diện quản lý web của các bộ định tuyến TP-Link Archer.
- Lỗ hổng này cho phép kẻ tấn công tiêm các lệnh mà sẽ được thực thi trên thiết bị, dẫn đến việc thực thi lệnh không xác thực với quyền root.
2. Chiến dịch botnet:
- Các hacker đang xây dựng một botnet có tên là Ballista, nhắm vào các bộ định tuyến TP-Link Archer.
- Botnet này lây lan tự động sử dụng lỗ hổng RCE, cho phép nó kiểm soát các thiết bị bị xâm nhập và thiết lập một kênh chỉ huy và kiểm soát (C2) mã hóa trên cổng 82.
3. Quy kết:
- Các nhà nghiên cứu tại Cato Networks tin rằng tác nhân đe dọa có địa điểm ở Ý do địa chỉ IP của máy chủ C2 và các chuỗi ngôn ngữ tiếng Ý được tìm thấy trong mã độc.
4. Tác động:
- Botnet đã nhắm tới nhiều lĩnh vực bao gồm sản xuất, y tế, dịch vụ và công nghệ tại Mỹ, Úc, Trung Quốc và Mexico.
- Hơn 6.000 thiết bị dễ bị tấn công đã được xác định, và botnet vẫn hoạt động, sử dụng các giao thức C2 tiên tiến và khả năng tấn công từ chối dịch vụ (DoS).
5. Giảm thiểu:
- Cách tốt nhất để phòng thủ chống lại botnet này là cập nhật firmware của các bộ định tuyến TP-Link Archer lên phiên bản mới nhất, giải quyết vấn đề này.
Lỗ hổng này đã được báo cáo và khai thác trước đó bởi các nhóm khác, bao gồm botnet Mirai, làm nổi bật các mối quan ngại an ninh liên tục với các thiết bị IoT.
