Botnetz infiziert viele TP-Link-Router - über eine alte Schwachstelle

Ein gefährliches Botnetz namens "Ballista" nutzt eine schwerwiegende Sicherheitslücke in TP-Link-Routern, die nicht auf dem neuesten Firmware-Stand sind. Aktuell hat die Malware bereits mehr als 6.000 Geräte unter seine Kontrolle gebracht - Tendenz steigend.
China, Router, wlan-router, TP-Link

Patch seit zwei Jahren verfügbar

Die Schwachstelle betrifft insbesondere das Modell Archer AX-21 und ermöglicht Angreifern, schädlichen Code aus der Ferne auszuführen. Laut eines aktuellen Berichts des Cato-CTRL-Teams nutzt das Botnetz eine als CVE-2023-1389 bekannte Sicherheitslücke, die bereits in der Vergangenheit für Angriffe durch andere Schadsoftware wie Mirai, Condi und AndroxGh0st missbraucht wurde.

Die Sicherheitslücke ist bereits seit April 2023 bekannt, und Patches sind seitdem verfügbar. Offensichtlich gibt es aber eben noch immer viele Router im aktiven Betrieb, die seitdem nie ein Firmware-Update erhalten haben. Solange sie ohne größere Probleme tun, was der Besitzer von ihnen erwartet, fristen sie wohl ein Dasein mit minimaler Beachtung.


Die erste Aktivität von Ballista wurde am 10. Januar 2025 festgestellt, mit der bislang letzten Angriffswelle am 17. Februar 2025. Besonders betroffen sind Router in Brasilien, Polen, dem Vereinigten Königreich, Bulgarien und der Türkei. Die von ihnen ausgehenden Angriffe richten sich vor allem gegen Unternehmen aus Branchen wie Produktion, Gesundheitswesen, Dienstleistungen und Technologie in den USA, Australien, China und Mexiko.

Ursprung Italien?

Die Malware wird durch einen sogenannten Dropper in das Zielsystem eingeschleust. Anschließend lädt ein Shell-Skript die Hauptdatei für unterschiedliche Systemarchitekturen nach. Nach der erfolgreichen Infektion baut die Schadsoftware eine Command-and-Control-Verbindung über Port 82 auf. Dadurch erhalten die Angreifer die Möglichkeit, beliebige Befehle auf dem infizierten Gerät auszuführen, unter anderem zur Durchführung von Denial-of-Service-Angriffen (DoS) oder zum Auslesen sensibler Dateien.

Sicherheitsexperten gehen davon aus, dass die Angriffe von einer bislang unbekannten italienischen Gruppe ausgehen. Diese Annahme basiert auf der ursprünglichen IP-Adresse und den verwendeten Sprachmustern. Die ursprüngliche Infrastruktur wurde inzwischen durch eine neue Version ersetzt, die auf das TOR-Netzwerk zurückgreift. Dies deutet darauf hin, dass Ballista sich noch in der aktiven Weiterentwicklung befindet.

Zusammenfassung
  • Botnetz 'Ballista' infiziert über 6.000 TP-Link-Router mit alter Schwachstelle
  • Sicherheitslücke CVE-2023-1389 im Modell Archer AX-21 ermöglicht Fernzugriff
  • Erste Aktivität am 10. Januar 2025, letzte Angriffswelle am 17. Februar 2025
  • Betroffene Länder: Brasilien, Polen, Vereinigtes Königreich, Bulgarien, Türkei
  • Malware ermöglicht DoS-Angriffe und Auslesen sensibler Daten über Port 82
  • Vermutlich italienische Hackergruppe hinter den Angriffen
  • Botnetz nutzt inzwischen TOR-Netzwerk und befindet sich in Weiterentwicklung

Siehe auch:
Thema:
Viren & Trojaner
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Antivirus Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Christian Kahle
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!