Resumo
- A botnet Ballista infectou roteadores Archer AX21 da TP-Link, explorando uma vulnerabilidade de execução de código CVE-2023-1389.
- Brasil, Polônia, Reino Unido, Bulgária e Turquia foram os mais afetados pela botnet que realizava ataques DDoS.
- A atualização de firmware do TP-Link Archer AX21 é necessária para solucionar a falha de segurança.
A empresa de cibersegurança Cato Networks revelou nesta semana um ataque a roteadores da TP-Link que permitiu a criação de uma botnet, batizada de Ballista pela companhia. O Brasil tem papel central nesta atividade maliciosa, já que aparelhos localizados no país participam dos ataques.
A empresa detectou a campanha no dia 10 de janeiro. Segundo a Cato, o ataque foi organizado por algum grupo cracker localizado na Itália, já que o IP levaria àquele país e há strings em italiano no malware.
Como funciona a botnet detectada pela Cato?
A Cato explica que a botnet Ballista utiliza uma vulnerabilidade de execução de código nos roteadores TP-Link Archer AX-21. Usando outro ataque do tipo injeção de comando, um malware era baixado e executado no dispositivo. Esse malware então tentava infectar outros dispositivos pela internet usando a vulnerabilidade CVE-2023-1389 — o 2023 indica o ano de descoberta da falha.
Outras campanhas de botnets, como o Mirai, Condi e AndroxGh0St, utilizavam a mesma vulnerabilidade para infectar dispositivos. Vale lembrar que botnets também são capazes de infectar dispositivos de internet das coisas — a Ballista também os tinha como alvo.
Com a botnet, o grupo cracker realizava ataques DDoS – em que muitas requisições simultâneas são feitas –contra operadoras de plano de saúde, empresas de tecnologia e fábricas, entre outros alvos. Os alvos ficam localizados no México, Estados Unidos, Austrália e China.
Segundo a Cato, a maioria dos roteadores infectados está no Brasil, Polônia, Reino Unido, Bulgária e Turquia. A última ação da botnet ocorreu em 17 de fevereiro.
No fim de 2024, os Estados Unidos levantaram a hipótese de proibir a venda de roteadores da TP-Link devido aos riscos de segurança.
Resposta da TP-Link Brasil
“Os roteadores da marca TP-Link recebem atualizações frequentes de firmware. Além disso, o modelo citado na matéria não é homologado pela Anatel e também não é comercializado no Brasil. A marca ainda ressalta que a informação citada na materia não é a TP-Link Brasil e sim de algum escritório de fora do País, onde o produto é comercializado.
No mais, a TP-Link Brasil afirma que se o roteador Archer AX21 estiver conectado a uma conta TP-Link ID ou suportar o serviço TP-Link Cloud, o usuário receberá notificações automáticas sobre atualizações no dispositivo pela interface de administração do aparelho. Neste caso, basta clicar no ícone “atualizar” dentro da interface web do roteador, que é a página de configurações do dispositivo. O guia sobre como navegar por essa plataforma pode ser consultado no site da fabricante.”
Como corrigir a falha no roteador TP-Link Archer AX-21?
É necessário atualizar o firmware do TP-Link Archer AX-21 para solucionar a brecha. Isso pode ser feito a partir das instruções no site da TP-Link. Todavia, existe a possibilidade do firmware não estar disponível para o Brasil, já que ele é liberado por regiões.
Com informações de Cato Networks e Tom’s Guide
Botnet no Brasil e outros países usa roteador TP-Link para atacar alvos
Link do Autor
