【安全资讯】新发现的僵尸网络感染未打补丁的TP-Link Archer家用路由器

概要：

近期，网络安全公司Cato Networks发现一个名为Ballista的新僵尸网络正在感染未打补丁的TP-Link Archer路由器。该僵尸网络利用了一个被追踪为CVE-2023-1389的固件漏洞，能够在互联网上自动传播。此事件不仅揭示了路由器的安全隐患，也引发了对IoT设备安全性的广泛关注。

主要内容：

Cato Networks的研究人员在调查路由器漏洞时，发现Ballista僵尸网络正在利用TP-Link Archer路由器的固件漏洞进行传播。攻击者被认为位于意大利，利用该漏洞使僵尸网络能够在未打补丁的设备上自动扩散。美国网络安全和基础设施安全局（CISA）已确认该漏洞在野外被利用，并要求美国民用机构进行修补。

研究人员指出，Ballista的恶意软件允许攻击者在受感染设备上执行任意命令，表明攻击者可能有更大的计划，而不仅仅是进行DDoS攻击。该恶意软件的设计允许未来版本添加新功能，显示出攻击者的复杂性在不断提高。Cato Networks在1月10日首次识别到该活动，并在接下来的几周内观察到多次初始访问尝试。

此外，研究人员发现该僵尸网络已针对美国、澳大利亚、中国和墨西哥的制造业、医疗、服务和科技组织。通过网络安全平台Censys的搜索，发现超过6000个易受攻击的设备仍然连接到互联网，表明该僵尸网络仍在活跃。研究人员强调，IoT设备如路由器因其弱密码和缺乏维护而成为恶意黑客的主要目标，用户和路由器厂商对安全的忽视使得这些设备长期处于脆弱状态。