详细内容或原文请订阅后点击阅览
CVE-2023-33538 遭受攻击一年,但利用仍未成功
黑客针对旧 TP-Link 路由器中的 CVE-2023-33538 漏洞已经一年了,但迄今为止尚未发现成功利用该漏洞的情况。一年多来,黑客一直在尝试利用过时 TP-Link 路由器中的一个严重缺陷,编号为 CVE-2023-33538(CVSS 评分为 8.8),但迄今为止尚未成功。该漏洞是一个命令 [...]
来源:Security Affairs _恶意软件CVE-2023-33538 遭受攻击一年,但利用仍未成功
黑客针对旧 TP-Link 路由器中的 CVE-2023-33538 漏洞已经一年了,但迄今为止尚未发现成功利用该漏洞的情况。
一年多来,黑客一直在尝试利用过时 TP-Link 路由器中的一个严重缺陷,编号为 CVE-2023-33538(CVSS 评分为 8.8),但迄今为止尚未成功。
该漏洞是 /userRpm/WlanNetworkRpm 组件中的命令注入漏洞,影响多个 TP-Link 路由器型号(TL-TL-WR940N v2 和 v4、TL-WR740N v1 和 v2、TL-WR841N v8 和 v10 路由器型号)。
CISA 于 2025 年 6 月将该问题添加到 KeV 目录中,并命令联邦机构在 2025 年 7 月 7 日之前修复这些漏洞。
CVE-2023-33538 于 2023 年 6 月披露,位于 /userRpm/WlanNetworkRpm 端点,其中 ssid1 参数未正确清理。攻击者可以通过精心设计的 HTTP 请求来利用此漏洞来注入命令并可能在设备上执行任意代码。概念验证漏洞在网上短暂共享,并可通过网络档案进行访问。
“我们的遥测系统在 2025 年 6 月添加到 KEV 目录期间检测到了针对 CVE-2023-33538 的活跃的大规模利用尝试。”阅读 Palo Alto Networks 发布的建议。 “我们观察到多次利用尝试”
研究人员观察到攻击者向/userRpm/WlanNetworkRpm.htm端点发送HTTP GET请求,试图滥用ssid参数来运行多个命令。他们首先从远程服务器下载了一个名为arm7的恶意ELF二进制文件到/tmp中,然后更改其权限以使其可执行,最后使用特定参数运行它。
该活动类似于僵尸网络行为,通常与类似 Mirai 的恶意软件相关。这些请求还使用基本身份验证和默认凭据 admin:admin,以 Base64 编码。
C2 基础设施与已知的恶意主机绑定,该主机也与 Mirai 类僵尸网络活动相关。