攻击者持续一年尝试利用CVE-2023-33538漏洞但均未成功

黑客针对旧款TP-Link路由器漏洞发起长达一年的攻击黑客持续一年多尝试利用TP-Link老旧路由器中的高危漏洞CVE-2023-33538CVSS评分8.8但至今未发现成功案例。该命令注入漏洞存在于/userRpm/WlanNetworkRpm组件中影响多款路由器型号包括TL-WR940N v2/v4、TL-WR740N v1/v2及TL-WR841N v8/v10。美国网络安全和基础设施安全局CISA于2025年6月将该漏洞列入已知被利用漏洞目录要求联邦机构在2025年7月7日前完成修复。该漏洞于2023年6月披露问题出在/userRpm/WlanNetworkRpm端点的ssid1参数未进行充分净化处理攻击者可通过构造特殊HTTP请求注入命令最终实现设备上的任意代码执行。相关PoC曾短暂出现在网络现仍可通过网页存档获取。攻击活动技术分析Palo Alto Networks发布的报告指出我们的遥测系统在2025年6月该漏洞被列入KEV目录时检测到大规模活跃攻击尝试。研究人员观察到攻击者向/userRpm/WlanNetworkRpm.htm端点发送HTTP GET请求试图滥用ssid参数执行多步操作首先从远程服务器下载名为arm7的恶意ELF文件至/tmp目录随后修改文件权限使其可执行最终携带特定参数运行。这些请求使用Base64编码的默认凭证admin:admin进行基本认证攻击模式符合Mirai类恶意软件特征。报告指出arm7二进制文件与Condi IoT僵尸网络所用样本相似文件代码中多次出现condi字符串。该恶意程序会连接C2服务器通过检测网络套接字中的特定字节模式执行不同操作包括状态反馈、启停控制、锁定模式切换及内嵌HTTP服务器激活等。恶意软件更新与传播机制当触发更新时程序会调用内置函数删除旧文件连接硬编码C2服务器51.38.137[.]113下载适配多种CPU架构的新版本。其C2基础设施与已知Mirai类僵尸网络活动存在关联。在特定指令下受感染设备会转变为Web服务器随机选择端口开启HTTP服务用于向其他受感染设备分发恶意程序实现僵尸网络扩散。漏洞利用失败原因剖析Palo Alto Networks对TP-Link路由器漏洞利用失败原因进行了技术还原。漏洞根源于Web界面处理/userRpm/WlanNetworkRpm.htm端点ssid1参数时的净化缺失攻击者可构造包含系统命令的SSID值最终通过shell执行。完整利用链包括HTTP请求解析→SSID值提取→配置结构存储→变更检测→构建含恶意SSID的iwconfig命令→shell执行。研究人员通过固件模拟复现漏洞时发现设备要求认证凭据多数情况下使用默认或弱密码路由器运行精简版BusyBox shell缺乏wget等关键工具极大限制了攻击实效。报告结论指出无论是公开PoC还是实际观测到的攻击尝试均未能成功入侵我们分析的TP-Link路由器环境。固件分析表明理论漏洞与实际利用存在显著差距。现实攻击存在的三大缺陷未通过身份验证错误定位参数使用ssid而非ssid1依赖固件环境中不存在的wget工具这反映出攻击者常使用不完整或不准确的漏洞代码进行扫描探测导致攻击行为虽具规模但最终无效。