Hackers richten zich al ongeveer een jaar op een kwetsbaarheid in verouderde TP-Link routers, maar zijn er tot op heden niet in geslaagd deze succesvol te exploiteren, meldt Palo Alto Networks. De kwetsbaarheid, geregistreerd als CVE-2023-33538 met een CVSS-score van 8.8, betreft een geauthenticeerde command injection door het ontbreken van juiste validatie van de ssid1-parameter in HTTP GET-verzoeken. Hierdoor kan een aanvaller commando's naar deze parameter sturen, wat theoretisch leidt tot het uitvoeren van willekeurige systeemcommando's op de router.

De kwetsbaarheid treft de TP-Link modellen TL-WR940N v2 en v4, TL-WR740N v1 en v2, en TL-WR841N v8 en v10, aldus de cybersecurityspecialist. Hoewel er al bijna drie jaar proof-of-concept exploitcode publiek beschikbaar is, is het mislukken van aanvallen deels te wijten aan fouten in de exploitcode. Zo probeerden aanvallers zonder authenticatie de kwetsbaarheid te misbruiken, richtten zij zich op de verkeerde parameter en maakten zij gebruik van een tool die niet aanwezig is in de BusyBox-omgeving van de getroffen apparaten. Dit illustreert volgens Palo Alto Networks een veelvoorkomend patroon van onvolledige of onnauwkeurige exploitpogingen die weliswaar veel ruis veroorzaken, maar uiteindelijk niet effectief zijn , aldus Palo Alto Networks.

De exploitpogingen maken gebruik van Mirai-achtige payloads, vergelijkbaar met de Condi IoT-botnetbinaries, die geïnfecteerde apparaten omvormen tot HTTP-servers om malware te verspreiden naar andere apparaten. Palo Alto Networks bevestigt het bestaan van de kwetsbaarheid, maar benadrukt dat succesvolle exploitatie kan leiden tot denial-of-service (DoS) of aanhoudende toegang voor aanvallers. In juni vorig jaar voegde de Amerikaanse cybersecurityorganisatie CISA deze kwetsbaarheid toe aan haar Known Exploited Vulnerabilities (KEV) catalogus en waarschuwde zij federale instanties om het gebruik van deze end-of-life producten onmiddellijk te staken.