Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило в каталог известных эксплуатируемых уязвимостей критическую брешь в беспроводных маршрутизаторах TP-Link. Параллельно исследователи фиксируют всплеск атак на устройства Zyxel, использующих другую критическую уязвимость. Эти события подчеркивают растущую угрозу для пользователей устаревшего сетевого оборудования.
Критическая уязвимость TP-Link активно эксплуатируется
В центре внимания оказалась уязвимость CVE-2023-33538 с критическим рейтингом 8,8 балла по шкале CVSS. Данная брешь связана с инъекцией команд и позволяет злоумышленникам выполнять произвольные системные команды через специально сформированные HTTP GET-запросы, манипулируя параметром ssid1.
Уязвимость затрагивает компонент /userRpm/WlanNetworkRpm в следующих моделях маршрутизаторов:
- TP-Link TL-WR940N версий V2 и V4
- TP-Link TL-WR841N версий V8 и V10
- TP-Link TL-WR740N версий V1 и V2
Особую обеспокоенность вызывает тот факт, что пораженные устройства достигли окончания жизненного цикла и официально не получают регулярных обновлений безопасности.
Позиция производителя и доступные решения
Представители TP-Link заявили, что компания предоставляет исправления для данной уязвимости с 2018 года через платформу технической поддержки. Несмотря на то, что затронутые модели были сняты с производства в 2017 году, пользователи могут получить исправленную прошивку, обратившись в службу поддержки.
«TP-Link рекомендует клиентам, использующим эти модели, связаться со службой технической поддержки для получения исправленной прошивки или обновить устройство на одну из поддерживаемых моделей», — указывается в официальном заявлении компании.
Новая волна атак на межсетевые экраны Zyxel
Одновременно специалисты компании GreyNoise зафиксировали значительное усиление атак на другую критическую уязвимость CVE-2023-28771 в межсетевых экранах Zyxel. Данная брешь получила максимальный рейтинг 9,8 балла по шкале CVSS и связана с некорректной обработкой сообщений об ошибках.
Уязвимость позволяет неаутентифицированным злоумышленникам удаленно выполнять команды, отправляя специально созданные пакеты на уязвимое устройство. Несмотря на то, что проблема была исправлена еще в 2023 году, многие устройства остаются незащищенными.
Масштаб текущих атак
Согласно данным GreyNoise, с 16 июня 2024 года наблюдается резкое увеличение попыток эксплуатации CVE-2023-28771. За короткий период 244 уникальных IP-адреса предприняли попытки атак, направленных преимущественно на:
- США
- Великобританию
- Испанию
- Германию
- Индию
Анализ вредоносной активности показывает характерные признаки атак Mirai-ботнета, известного своими масштабными DDoS-атаками на IoT-устройства.
Рекомендации по защите сетевой инфраструктуры
Для минимизации рисков кибератак владельцам затронутых устройств следует немедленно принять следующие меры:
Для пользователей TP-Link: Обратиться в службу технической поддержки для получения исправленной прошивки или рассмотреть возможность замены устройства на актуальную модель с поддержкой автоматических обновлений.
Для пользователей Zyxel: Обновить прошивку до последней версии и внедрить систему мониторинга сетевой активности для своевременного обнаружения аномальных подключений.
Данные инциденты служат напоминанием о критической важности своевременного обновления сетевого оборудования и необходимости регулярного аудита безопасности домашних и корпоративных сетей. Использование устаревших устройств без поддержки обновлений создает серьезные бреши в защите, которыми активно пользуются киберпреступники.
