Milhares de roteadores TP-Link Archer vulneráveis, acessíveis pela Internet, foram alvos de uma nova botnet, afirma a empresa de segurança Cato . Os roteadores contêm uma vulnerabilidade designada como CVE-2023-1389. A vulnerabilidade permite injeção de comando remoto via interface web. Então é possível que invasores instalem malware no dispositivo.
A vulnerabilidade foi usada anteriormente por uma variante do Mirai e pelo malware Condi. Ambas as amostras de malware transformam roteadores infectados em parte de uma botnet que realiza ataques DDoS. Desde abril de 2023, atualizações de firmware da TP-Link para a vulnerabilidade estão disponíveis. A empresa de segurança Cato diz ter descoberto uma nova botnet chamada Ballista que explora a mesma vulnerabilidade.
Com base em uma varredura online realizada pela empresa de segurança Censys, os pesquisadores dizem que ainda há mais de seis mil roteadores vulneráveis na Internet. Assim como as outras duas botnets, a botnet Cato também usa roteadores comprometidos para procurar outros dispositivos vulneráveis e lançar ataques DDoS.
