De US Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag een beveiligingsfout met hoge ernst in TP-Link Wireless Routers toegevoegd aan de bekende uitgebuite catalogus van de Vulnerabilities (KEV), met bewijs van actieve exploitatie.
De kwetsbaarheid in kwestie is CVE-2023-33538 (CVSS-score: 8.8), een commando-injectie-bug die zou kunnen leiden tot de uitvoering van willekeurige systeemopdrachten bij het verwerken van de SSID1-parameter in een speciaal vervaardigde HTTP-verzoek.
“TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10 en TL-WR740N V1/V2 bevatten een kwetsbaarheid voor commando-injectie via de component/UsErrpM/WlannetWorkrpm,” zei het bureau.
CISA heeft ook gewaarschuwd dat er een mogelijkheid is dat getroffen producten eind-of-life (EOL) en/of einde-of-service (EOS) kunnen zijn, waarbij gebruikers worden aangespoord om hun gebruik te beëindigen als er geen mitigaties beschikbaar zijn. Volgens TP-Link zijn officiële ondersteuning voor alle drie de routermodellen geëindigd, wat betekent dat het onwaarschijnlijk is dat ze fixes zullen ontvangen.
Er is momenteel geen openbare informatie beschikbaar over hoe de tekortkoming wordt uitgebuit in het wild, de schaal van de aanvallen en wie achter hen zit.
In december 2024 onthulde Palo Alto Networks Unit 42 dat het extra monsters had geïdentificeerd van een operationele technologie (OT) -centrische malware genaamd FrostyGoop (AKA Bustleberm) en dat een van de IP-adressen die overeenkwamen met een Enco-besturingsapparaat dat ook als een routerwebserver werd gebruikt als een routerwebserver die TP-LINK WR740N TOCILITAINE ACCESS van een Webrowser.
Het wees er echter verder op dat “er geen hard bewijs is om aan te geven dat de aanvallers hebben uitgebuit (CVE-2023-33538) in de FrostyGoop-aanval van juli 2024.”
The Hacker News heeft contact opgenomen met TP-Link voor meer informatie en we zullen het verhaal bijwerken als we het horen. In het licht van actieve uitbuiting zijn federale agentschappen vereist om de fout op 7 juli 2025 te verhelpen.
Nieuwe activiteit richt zich op CVE-2023-28771
De openbaarmaking komt omdat Greynoise heeft gewaarschuwd voor exploitatiepogingen die zich richten op een kritische beveiligingsfout die van invloed is op Zyxel Firewalls (CVE-2023-28771, CVSS-score: 9.8).
CVE-2023-28771 verwijst naar een ander kwetsbaarheid van de commando-injectie van het besturingssysteem waarmee een niet-geauthenticeerde aanvaller commando’s kan uitvoeren door bewerkte verzoeken naar een vatbaar apparaat te sturen. Het werd in april 2023 gepatcht door Zyxel.
Terwijl de kwetsbaarheid werd bewapend om gedistribueerde Denial-of-Service (DDOS) botnets zoals Mirai te bouwen kort na openbare openbaarmaking, zei het bedreigingsinlichtingenbedrijf dat het een verhoogde pogingen zag om het te exploiteren zo recent als 16 juni 2025.
Er wordt gezegd dat maar liefst 244 unieke IP -adressen hebben deelgenomen aan de inspanningen over een korte Timespan, met de activiteit gericht op de Verenigde Staten, het Verenigd Koninkrijk, Spanje, Duitsland en India.
“Historische analyse geeft aan dat in de twee weken voorafgaand aan 16 juni deze IP’s niet werden waargenomen die zich bezighouden met ander scanning- of exploitatiegedrag-alleen gericht op CVE-2023-28771,” zei Greynoise, die het toevoegt “indicatoren die consistent zijn met Mirai Botnet-varianten.”
Om de dreiging te verzachten, worden gebruikers aanbevolen om hun Zyxel -apparaten bij te werken naar de nieuwste versie, te controleren op elke afwijkende activiteit en de blootstelling te beperken waar van toepassing.
