Duizenden kwetsbare TP-Link Archer-routers die vanaf internet bereikbaar zijn, zijn het doelwit van een nieuw botnet, zo claimt securitybedrijf Cato. De routers bevatten een kwetsbaarheid aangeduid als CVE-2023-1389. Het beveiligingslek maakt remote command injection via de webinterface mogelijk. Vervolgens is het mogelijk voor aanvallers om malware op het apparaat te installeren.

Het beveiligingslek werd eerder al door een Mirai-variant en de Condi-malware gebruikt. Beide malware-exemplaren maken besmette routers onderdeel van een botnet dat ddos-aanvallen uitvoert. Sinds april 2023 zijn er firmware-updates van TP-Link voor de kwetsbaarheid beschikbaar. Securitybedrijf Cato zegt dat het een nieuw botnet heeft ontdekt genaamd Ballista dat van dezelfde kwetsbaarheid gebruikmaakt.

Op basis van een online scan door securitybedrijf Censys stellen de onderzoekers dat er nog meer dan zesduizend kwetsbare routers op internet zijn te vinden. Net als de andere twee botnets gebruikt ook het Cato-botnet besmette routers om naar andere kwetsbare apparaten te zoeken en ddos-aanvallen uit te voeren.