Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine kritische Sicherheitslücke in TP-Link Routern in ihren Katalog bekannter ausgenutzer Schwachstellen aufgenommen. Zeitgleich registrieren Sicherheitsexperten einen dramatischen Anstieg von Cyberangriffen auf Zyxel Firewalls. Diese Entwicklungen verdeutlichen die wachsende Bedrohung für Nutzer veralteter Netzwerkgeräte und unterstreichen die Dringlichkeit regelmäßiger Sicherheitsupdates.
TP-Link Router im Visier: CVE-2023-33538 ermöglicht Fernzugriff
Im Zentrum der aktuellen Sicherheitskrise steht die Schwachstelle CVE-2023-33538 mit einem kritischen CVSS-Score von 8,8 Punkten. Diese Command-Injection-Vulnerabilität ermöglicht es Angreifern, beliebige Systembefehle über manipulierte HTTP GET-Requests auszuführen, indem sie den ssid1-Parameter gezielt modifizieren.
Die Sicherheitslücke betrifft die /userRpm/WlanNetworkRpm Komponente in folgenden Router-Modellen:
- TP-Link TL-WR940N (Versionen V2 und V4)
- TP-Link TL-WR841N (Versionen V8 und V10)
- TP-Link TL-WR740N (Versionen V1 und V2)
Besonders problematisch erweist sich die Tatsache, dass diese Geräte das Ende ihres Lebenszyklus erreicht haben und keine regulären Sicherheitsupdates mehr erhalten. Dies macht sie zu attraktiven Zielen für Cyberkriminelle, die gezielt nach ungeschützten Netzwerkgeräten suchen.
Herstellerreaktion und verfügbare Schutzmaßnahmen
TP-Link bestätigt, dass seit 2018 Patches für die identifizierte Schwachstelle über die technische Support-Plattform verfügbar sind. Obwohl die betroffenen Modelle bereits 2017 aus der Produktion genommen wurden, können Nutzer korrigierte Firmware-Versionen über den Kundensupport beziehen.
„Wir empfehlen Kunden mit diesen Modellen dringend, sich an unseren technischen Support zu wenden oder auf ein aktuelles, unterstütztes Gerät zu wechseln“, erklärt das Unternehmen in einer offiziellen Stellungnahme.
Zyxel Firewalls: Neue Angriffswelle mit maximaler Schadenswirkung
Parallel zu den TP-Link-Problemen dokumentieren Sicherheitsforscher von GreyNoise einen signifikanten Anstieg von Attacken auf die kritische Schwachstelle CVE-2023-28771 in Zyxel Firewalls. Mit einem maximalen CVSS-Score von 9,8 Punkten stellt diese Vulnerability eine der schwerwiegendsten Bedrohungen dar.
Die Sicherheitslücke basiert auf fehlerhafter Behandlung von Fehlermeldungen und ermöglicht nicht-authentifizierten Angreifern die Remote-Ausführung von Befehlen durch speziell konstruierte Datenpakete. Trotz verfügbarer Patches aus dem Jahr 2023 bleiben zahlreiche Systeme ungeschützt.
Umfang der aktuellen Bedrohungslage
GreyNoise-Analysen zeigen seit dem 16. Juni 2024 einen dramatischen Anstieg der Exploit-Versuche für CVE-2023-28771. Innerhalb kurzer Zeit führten 244 eindeutige IP-Adressen koordinierte Angriffe durch, die sich hauptsächlich auf folgende Länder konzentrierten:
- Vereinigte Staaten
- Vereinigtes Königreich
- Spanien
- Deutschland
- Indien
Die Angriffsmuster weisen charakteristische Merkmale des Mirai-Botnetzes auf, das für großangelegte DDoS-Attacken auf IoT-Geräte berüchtigt ist. Diese Entwicklung deutet auf eine systematische Kompromittierung von Netzwerkinfrastrukturen hin.
Sofortmaßnahmen für betroffene Netzwerkadministratoren
Zur Risikominimierung sollten Betreiber der betroffenen Geräte umgehend entsprechende Schutzmaßnahmen implementieren. TP-Link-Nutzer sollten sofort den technischen Support kontaktieren, um gepatchte Firmware zu erhalten, oder einen Wechsel zu aktuellen Modellen mit automatischen Update-Funktionen in Betracht ziehen.
Zyxel-Administratoren müssen ihre Firmware unverzüglich auf die neueste Version aktualisieren und kontinuierliches Netzwerkmonitoring etablieren, um anomale Verbindungen frühzeitig zu identifizieren.
Diese Sicherheitsvorfälle unterstreichen die kritische Bedeutung proaktiver Netzwerksicherheit und regelmäßiger Infrastruktur-Audits. Veraltete Geräte ohne Update-Support schaffen gefährliche Angriffsvektoren, die von Cyberkriminellen systematisch ausgenutzt werden. Organisationen und Privatnutzer sollten ihre Netzwerkgeräte regelmäßig überprüfen und rechtzeitig auf unterstützte Systeme migrieren, um langfristige Sicherheit zu gewährleisten.
