آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) از بهرهبرداری فعال از یک آسیبپذیری مهم در برخی مدلهای روتر بیسیم شرکت TP-Link خبر داده و با افزودن این آسیبپذیری به فهرست تهدیدات در حال سوءاستفاده، خواستار اقدام فوری شده است.
این نقص امنیتی که با شناسه CVE-2023-33538 و امتیاز ۸.۸ در سیستم CVSS ثبت شده، یک ضعف از نوع تزریق فرمان است که از طریق پارامتر ssid1 در درخواستهای HTTP جعلی میتواند منجر به اجرای دستورات دلخواه سیستم شود.
مدلهای آسیبپذیر شامل TL-WR940N V2/V4، TL-WR841N V8/V10 و TL-WR740N V1/V2 هستند. با توجه به پایان دوره پشتیبانی رسمی این دستگاهها، امکان ارائه وصله امنیتی توسط TP-Link وجود ندارد و CISA توصیه کرده در صورت نبود راهکار حفاظتی، استفاده از این محصولات متوقف شود.
در حال حاضر اطلاعاتی درباره نحوه دقیق سوءاستفاده، دامنه حملات یا عاملان آن منتشر نشده، با این حال آژانس امنیت سایبری، نهادهای فدرال آمریکا را موظف کرده تا پیش از ۷ ژوئیه ۲۰۲۵ نسبت به رفع این آسیبپذیری اقدام کنند.
در گزارشی جداگانه در دسامبر ۲۰۲۴، شرکت Palo Alto Networks به استفاده از روتر TP-Link WR740N در کنار بدافزار «FrostyGoop» اشاره کرده بود، اما هیچ شواهد قطعی مبنی بر بهرهبرداری از CVE-2023-33538 در آن حمله یافت نشد.
حملات جدید علیه آسیبپذیری Zyxel
همزمان، شرکت GreyNoise از افزایش تلاشها برای بهرهبرداری از یک آسیبپذیری حیاتی دیگر در فایروالهای Zyxel با شناسه CVE-2023-28771 خبر داده است. این نقص نیز از نوع تزریق فرمان بوده و به مهاجمان اجازه میدهد بدون احراز هویت، کد دلخواه خود را اجرا کنند.
اگرچه Zyxel این مشکل را در آوریل ۲۰۲۳ برطرف کرده، تلاش برای سوءاستفاده از آن در ژوئن ۲۰۲۵ دوباره افزایش یافته و دستکم ۲۴۴ آدرس IP منحصربهفرد در این حملات شناسایی شدهاند. بنابر شواهد، این فعالیتها به احتمال زیاد به باتنتهای مبتنی بر Mirai مرتبط هستند.
کاربران Zyxel توصیه شده با بهروزرسانی فوری دستگاهها، نظارت بر ترافیک مشکوک و محدود کردن دسترسیها از آسیبهای احتمالی جلوگیری کنند.
توضیحات بیشتر:
TP-Link Router Flaw CVE-2023-33538 Under Active Exploit, CISA Issues Immediate Alert