Dacă ai acest router în casă, ar fi bine să fii atent la vulnerabilități: Neatenția te-ar putea costa
Agenția americană pentru Securitate Cibernetică și Infrastructură (CISA) a adăugat recent o vulnerabilitate gravă din routerele wireless TP-Link în catalogul său de vulnerabilități cunoscute ca fiind exploatate activ (KEV).
Vulnerabilitatea, identificată ca CVE-2023-33538, are un scor CVSS de 8.8 și permite executarea de comenzi arbitrare pe sistem printr-un atac de tip injection asupra parametrului ssid1 dintr-o cerere HTTP GET special creată, scrie The Hacker News.
Care sunt modelele de router de care ar trebui să te ferești
Modelele afectate de această vulnerabilitate sunt TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10 și TL-WR740N V1/V2.
Defectul se află în componenta /userRpm/WlanNetworkRpm, conform anunțului CISA. Exploatarea poate permite unui atacator să preia controlul asupra dispozitivului, ceea ce reprezintă un risc major pentru securitatea rețelelor casnice și de mici afaceri.
CISA avertizează că aceste modele sunt probabil depășite din punct de vedere tehnic (EoL – end-of-life) și nu mai primesc suport oficial de la TP-Link, ceea ce înseamnă că nu vor mai primi patch-uri de securitate.
În aceste condiții, agenția recomandă utilizatorilor să înceteze folosirea acestor dispozitive sau să le înlocuiască cât mai rapid pentru a elimina riscurile de securitate.
Deși există dovezi că vulnerabilitatea este exploatată în prezent, nu sunt disponibile încă detalii clare despre amploarea atacurilor, metodele precise folosite sau identitatea atacatorilor.
În decembrie 2024, compania Palo Alto Networks Unit 42 a raportat existența unui malware specializat pe tehnologia operațională (OT), denumit FrostyGoop (sau BUSTLEBERM), care ar fi folosit un router TP-Link WR740N ca punct de acces în cadrul unui atac. Totuși, cercetătorii au menționat că nu există dovezi ferme că atacatorii ar fi folosit vulnerabilitatea CVE-2023-33538 în respectivul atac.
CISA a impus o dată limită de remediere pentru agențiile federale americane, 7 iulie 2025, pentru a corecta această problemă.
Problemele nu par să se mai termine
În același timp, specialiștii în securitate avertizează și asupra exploatărilor recente ale unei alte vulnerabilități critice, CVE-2023-28771, care afectează firewall-urile Zyxel.
Aceasta, cu un scor CVSS chiar mai mare, 9.8, este o vulnerabilitate de tip command injection ce permite atacatorilor neautentificați să execute comenzi arbitrare.
Deși a fost corectată încă din aprilie 2023, încă se observă tentative sporadice de exploatare, asociate cu botnetul Mirai, ce pot conduce la atacuri DDoS majore.
Pentru a minimiza riscurile, utilizatorii de echipamente Zyxel sunt sfătuiți să instaleze ultimele actualizări de firmware, să monitorizeze traficul suspect și să limiteze expunerea dispozitivelor vulnerabile.
