{"id":1574447,"date":"2025-03-11T11:56:34","date_gmt":"2025-03-11T13:56:34","guid":{"rendered":"https:\/\/teknomers.com\/fr\/ballista-botnet-exploite-la-vulnerabilite-tp-link-non-corrigee-infecte-plus-de-6-000-appareils\/"},"modified":"2025-03-11T11:56:39","modified_gmt":"2025-03-11T13:56:39","slug":"ballista-botnet-exploite-la-vulnerabilite-tp-link-non-corrigee-infecte-plus-de-6-000-appareils","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/ballista-botnet-exploite-la-vulnerabilite-tp-link-non-corrigee-infecte-plus-de-6-000-appareils\/","title":{"rendered":"Ballista Botnet exploite la vuln\u00e9rabilit\u00e9 TP-Link non corrig\u00e9e, infecte plus de 6 000 appareils"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 \/ vuln\u00e9rabilit\u00e9 du r\u00e9seau<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Ballista-Botnet-exploite-la-vulnerabilite-TP-Link-non-corrigee-infecte-plus.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les routeurs Archer TP-Link non corrig\u00e9s sont devenus la cible d&#8217;une nouvelle campagne de botnet surnomm\u00e9e Ballista, selon de nouvelles conclusions de l&#8217;\u00e9quipe Cato Ctrl.<\/p>\n<p>&#8220;Le botnet exploite une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code distant (RCE) dans les routeurs d&#8217;archer TP-Link (CVE-2023-1389) pour se propager automatiquement sur Internet&#8221;, a d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Ofek Vardi et Matan Mttelman dans une technique dans une technique <a rel=\"nofollow noopener\" href=\"https:\/\/www.catonetworks.com\/blog\/cato-ctrl-ballista-new-iot-botnet-targeting-thousands-of-tp-link-archer-routers\/\" target=\"_blank\">rapport<\/a> partag\u00e9 avec les actualit\u00e9s des pirates.<\/p>\n<p>CVE-2023-1389 est un d\u00e9faut de s\u00e9curit\u00e9 \u00e0 haute s\u00e9v\u00e9rit\u00e9 ayant un impact sur les routeurs Archer AX-21 TP-Link qui pourraient conduire \u00e0 l&#8217;injection de commande, ce qui pourrait ensuite ouvrir la voie \u00e0 l&#8217;ex\u00e9cution du code distant.<\/p>\n<p>La premi\u00e8re preuve d&#8217;exploitation active de la faille remonte \u00e0 avril 2023, avec des acteurs de menace non identifi\u00e9s qui l&#8217;utilisent pour abandonner le malware Mirai Botnet. Depuis lors, il a \u00e9galement \u00e9t\u00e9 maltrait\u00e9 pour propager d&#8217;autres familles de logiciels malveillants comme Condi et AndroxGH0st.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cato Ctrl a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 la campagne de Ballista le 10 janvier 2025. La plus r\u00e9cente tentative d&#8217;exploitation a \u00e9t\u00e9 enregistr\u00e9e le 17 f\u00e9vrier.<\/p>\n<p>La s\u00e9quence d&#8217;attaque implique l&#8217;utilisation d&#8217;un compte-gouttes malware, un script shell (&#8220;dropbpb.sh&#8221;) con\u00e7u pour r\u00e9cup\u00e9rer et ex\u00e9cuter le binaire principal sur le syst\u00e8me cible pour diverses architectures syst\u00e8me telles que MIPS, MIPSEL, ARMV5L, ARMV7L et X86_64.<\/p>\n<p>Une fois ex\u00e9cut\u00e9, le logiciel malveillant \u00e9tablit un canal de commande et de contr\u00f4le crypt\u00e9 (C2) sur le port 82 afin de prendre le contr\u00f4le de l&#8217;appareil.<\/p>\n<p>&#8220;Cela permet aux commandes de Shell en cours d&#8217;ex\u00e9cution de mener d&#8217;autres attaques RCE et d\u00e9ni de service (DOS)&#8221;, ont d\u00e9clar\u00e9 les chercheurs. &#8220;De plus, le malware tente de lire des fichiers sensibles sur le syst\u00e8me local.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741701393_790_Ballista-Botnet-exploite-la-vulnerabilite-TP-Link-non-corrigee-infecte-plus.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1741701393_790_Ballista-Botnet-exploite-la-vulnerabilite-TP-Link-non-corrigee-infecte-plus.png\" alt=\"Botnet de ballista\" border=\"0\" data-original-height=\"405\" data-original-width=\"728\" title=\"Botnet de ballista\"\/><\/a><\/div>\n<p>Certaines des commandes prises en charge sont r\u00e9pertori\u00e9es ci-dessous &#8211;<\/p>\n<ul>\n<li>Fonder, qui d\u00e9clenche une attaque d&#8217;inondation<\/li>\n<li>Exploiter, qui exploite CVE-2023-1389<\/li>\n<li>D\u00e9marrer, un param\u00e8tre facultatif utilis\u00e9 avec l&#8217;exploitant pour d\u00e9marrer le module<\/li>\n<li>Fermer, qui arr\u00eate la fonction de d\u00e9clenchement du module<\/li>\n<li>Shell, qui ex\u00e9cute une commande shell Linux sur le syst\u00e8me local.<\/li>\n<li>Killall, qui est utilis\u00e9 pour r\u00e9silier le service<\/li>\n<\/ul>\n<p>De plus, il est capable de mettre fin aux instances pr\u00e9c\u00e9dentes et d&#8217;effacer sa propre pr\u00e9sence une fois l&#8217;ex\u00e9cution au d\u00e9but. Il est \u00e9galement con\u00e7u pour se propager \u00e0 d&#8217;autres routeurs en essayant d&#8217;exploiter la faille.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;utilisation de l&#8217;emplacement de l&#8217;adresse IP C2 (2.237.57[.]70) et la pr\u00e9sence de cordes en langue italienne dans les binaires malveillants sugg\u00e8rent l&#8217;implication d&#8217;un acteur de menace italien inconnu, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.<\/p>\n<p>Cela dit, il semble que les logiciels malveillants soient en cours de d\u00e9veloppement actif \u00e9tant donn\u00e9 que l&#8217;adresse IP n&#8217;est plus fonctionnelle et qu&#8217;il existe une nouvelle variante du compte-gouttes qui utilise des domaines r\u00e9seau TO au lieu d&#8217;une adresse IP \u00e0 code dur.<\/p>\n<p>Une recherche sur les censures de la plate-forme de gestion de la surface d&#8217;attaque r\u00e9v\u00e8le que <a rel=\"noopener nofollow\" href=\"https:\/\/search.censys.io\/search?resource=hosts&amp;sort=RELEVANCE&amp;per_page=25&amp;virtual_hosts=EXCLUDE&amp;q=services.http.response.body%3D%22*modelDesc*%22+and+services.http.response.body%3D%22*AX1800*%22\" target=\"_blank\">plus de 6 000 appareils<\/a> sont infect\u00e9s par Ballista. Les infections sont concentr\u00e9es autour du Br\u00e9sil, de la Pologne, du Royaume-Uni, de la Bulgarie et de la Turquie.<\/p>\n<p>Le botnet cible les organisations de fabrication, de soins m\u00e9dicaux \/ de sant\u00e9, de services et de technologie aux \u00c9tats-Unis, en Australie, en Chine et au Mexique.<\/p>\n<p>&#8220;Bien que cet \u00e9chantillon de malware partage des similitudes avec d&#8217;autres botnets, il reste distinct des botnets largement utilis\u00e9s tels que Mirai et Mozi&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/ballista-botnet-exploits-unpatched-tp.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 mars 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 \/ vuln\u00e9rabilit\u00e9 du r\u00e9seau Les routeurs Archer TP-Link non corrig\u00e9s sont devenus la cible d&#8217;une nouvelle campagne de botnet surnomm\u00e9e Ballista, selon de nouvelles conclusions de l&#8217;\u00e9quipe Cato Ctrl. &#8220;Le botnet exploite une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code distant (RCE) dans les routeurs d&#8217;archer TP-Link (CVE-2023-1389) pour se propager automatiquement sur Internet&#8221;, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1574448,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8737,285930,5464,4168,59777,79002,274264,4161,274263,6124,7727,16220,274267,4160,238617,246491,4172,79016,139860,4166,3667,4164],"class_list":["post-1574447","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-appareils","tag-ballista","tag-botnet","tag-comment-pirater","tag-corrigee","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-exploite","tag-infecte","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-tplink","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1574447","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1574447"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1574447\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1574448"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1574447"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1574447"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1574447"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}