详细内容或原文请订阅后点击阅览
使用TP-Link缺陷扩展新的Ballista Botnet。这是意大利的工作吗?
Ballista Botnet正在利用未捕获的TP-Link漏洞,针对6,000多个弓箭手路由器。 CATO CTRL研究人员观察到了一个新的僵尸网络,称为Ballista Botnet,该僵尸网络正在利用远程代码执行(RCE)漏洞,在TP-Link Archer Routers中以CVE-2023-1389(CVE-2023-1389(CVSS得分8.8)跟踪)。 CVE-2023-1389缺陷是未经施加的命令注入[…]
来源:Security Affairs _恶意软件使用TP-Link缺陷扩展新的Ballista Botnet。这是意大利的工作吗?
Ballista Botnet正在利用未捕获的TP-Link漏洞,针对6,000多个弓箭手路由器。
cato ctrl研究人员观察到了一个新的僵尸网络,称为ballista僵尸网络,该僵尸网络正在利用远程代码执行(RCE)漏洞,以CVE-2023-1389(CVSS分数8.8)跟踪,在TP-Link Archer Routers中。
CVE-2023-1389CVE-2023-1389缺陷是一个未经验证的命令注入漏洞,它位于TP-Link Archer AX21路由器的Web管理接口的位置API中。问题的根本原因是管理路由器语言设置的语言环境API缺乏输入消毒。远程攻击者可以触发问题,以注入应在设备上执行的命令。
在PWN2OWN多伦多2022事件期间,该漏洞首先是向ZDI报告的。 Viettel和Qrious Security分别报告了LAN和WAN接口访问的工作利用。
PWN2OWN多伦多2022 lan wan自2025年初以来,Cato Ctrl一直通过CVE-2023-1389追踪了针对TP-Link Archer路由器的Ballista Botnet。僵尸网络使用远程代码执行(RCE)缺陷自动传播。 TP-Link设备已面临审查,美国机构正在考虑禁止与中国有关的安全问题。研究人员在1月10日首先检测到僵尸网络,然后通过使用TOR域进行隐形而发展。最近的攻击尝试发生在2月17日。
阅读CATO报告有效载荷使用bash单线线安装滴管,该单线从端口81上的HTTP从攻击者控制的服务器(2.237.57 [。] 70)下载文件。它授予完整的权限并执行其作为后台过程。执行后,滴管将从磁盘上删除自身,然后移动到其他目录以下载并运行恶意软件。该过程包括持久性,系统探索和反检测技术,以保持对受感染设备的控制。
Censys搜索