{"id":1616716,"date":"2025-03-11T13:24:20","date_gmt":"2025-03-11T13:24:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/ballista-botnet-exploits-vulnerabilidad-de-tp-link-sin-parpadeo-infecta-mas-de-6000-dispositivos\/"},"modified":"2025-03-11T13:24:24","modified_gmt":"2025-03-11T13:24:24","slug":"ballista-botnet-exploits-vulnerabilidad-de-tp-link-sin-parpadeo-infecta-mas-de-6000-dispositivos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ballista-botnet-exploits-vulnerabilidad-de-tp-link-sin-parpadeo-infecta-mas-de-6000-dispositivos\/","title":{"rendered":"Ballista Botnet Exploits Vulnerabilidad de TP-Link sin parpadeo, infecta m\u00e1s de 6,000 dispositivos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>11 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad \/ vulnerabilidad de la red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los enrutadores Archer TP-Link sin parpadear se han convertido en el objetivo de una nueva campa\u00f1a de Botnet denominada Ballista, seg\u00fan nuevos hallazgos del equipo de CATO CTRL.<\/p>\n

“El Botnet explota una vulnerabilidad de ejecuci\u00f3n de c\u00f3digo remoto (RCE) en los enrutadores Archer TP-Link (CVE-2023-1389) para propagarse autom\u00e1ticamente a trav\u00e9s de Internet”, dijeron los investigadores de seguridad dek Vardi y Matan Mittelman en un informe t\u00e9cnico compartido con Hacker News.<\/p>\n

CVE-2023-1389 es una falla de seguridad de alta severidad que afecta los enrutadores TP-Link Archer AX-21 que podr\u00edan conducir a la inyecci\u00f3n de comandos, que luego podr\u00edan allanar el camino para la ejecuci\u00f3n del c\u00f3digo remoto.<\/p>\n

La evidencia m\u00e1s temprana de explotaci\u00f3n activa de la falla se remonta a abril de 2023, con actores de amenaza no identificados que lo usan para soltar malware Mirai Botnet. Desde entonces, tambi\u00e9n se ha abusado de propagar a otras familias de malware como Condi y Androxgh0st.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Cato CTRL dijo que detect\u00f3 la campa\u00f1a Ballista el 10 de enero de 2025. El intento de explotaci\u00f3n m\u00e1s reciente se registr\u00f3 el 17 de febrero.<\/p>\n

La secuencia de ataque implica el uso de un gotero de malware, un script de shell (“dropbpb.sh”) que est\u00e1 dise\u00f1ado para obtener y ejecutar el binario principal en el sistema de destino para diversas arquitecturas del sistema como MIPS, MIPSEL, ARMV5L, ARMV7L y X86_64.<\/p>\n

Una vez ejecutado, el malware establece un canal de comando y control (C2) cifrado en el puerto 82 para tomar el control del dispositivo.<\/p>\n

“Esto permite que ejecutar comandos de shell realice m\u00e1s ataques de RCE y denegaci\u00f3n de servicio (DOS)”, dijeron los investigadores. “Adem\u00e1s, el malware intenta leer archivos confidenciales en el sistema local”.<\/p>\n

\"Ballista<\/a><\/div>\n

Algunos de los comandos compatibles se enumeran a continuaci\u00f3n –<\/p>\n