Американське агентство CISA офіційно внесло до переліку активно експлуатованих загроз критичну вразливість у бездротових маршрутизаторах TP-Link. Водночас фахівці з кібербезпеки фіксують масштабну хвилю кібератак на пристрої Zyxel, які використовують іншу небезпечну вразливість. Ці події демонструють серйозні ризики, пов’язані з експлуатацією застарілого мережевого обладнання.
Деталі критичної вразливості CVE-2023-33538 у роутерах TP-Link
Вразливість CVE-2023-33538 отримала критичний рейтинг 8,8 балів за шкалою CVSS через можливість віддаленого виконання команд. Механізм атаки базується на ін’єкції команд через HTTP GET-запити, де зловмисники маніпулюють параметром ssid1 для отримання повного контролю над пристроєм.
Вразливий компонент /userRpm/WlanNetworkRpm присутній у наступних моделях маршрутизаторів:
- TP-Link TL-WR940N (версії V2, V4)
- TP-Link TL-WR841N (версії V8, V10)
- TP-Link TL-WR740N (версії V1, V2)
Найбільшу занепокоєність викликає той факт, що зазначені моделі вже не підтримуються виробником і не отримують регулярних оновлень безпеки, що робить їх особливо вразливими до кібератак.
Відповідь виробника та можливі рішення для користувачів
Компанія TP-Link повідомила, що патчі для усунення даної вразливості доступні з 2018 року через службу технічної підтримки. Незважаючи на припинення виробництва цих моделей у 2017 році, користувачі можуть отримати оновлену прошивку, звернувшись до служби підтримки.
“Компанія TP-Link настійно рекомендує власникам зазначених моделей звернутися до технічної підтримки для отримання виправленої прошивки або розглянути можливість оновлення до сучасних моделей з активною підтримкою”, – зазначається в офіційній заяві виробника.
Ескалація атак на міжмережеві екрани Zyxel
Паралельно експерти GreyNoise зареєстрували різке зростання активності щодо експлуатації вразливості CVE-2023-28771 в пристроях Zyxel. Ця вразливість має максимальний рейтинг 9,8 балів CVSS і пов’язана з некоректною обробкою повідомлень про помилки.
Механізм атаки дозволяє неавторизованим зловмисникам віддалено виконувати команди шляхом надсилання спеціально сформованих пакетів. Попри те, що виправлення було випущено у 2023 році, значна кількість пристроїв залишається незахищеною.
Статистика поточних кібератак
За даними GreyNoise, з 16 червня 2024 року спостерігається експоненціальне зростання спроб експлуатації CVE-2023-28771. Протягом короткого періоду 244 унікальні IP-адреси здійснили атаки, переважно націлені на:
- Сполучені Штати Америки
- Сполучене Королівство
- Іспанію
- Німеччину
- Індію
Технічний аналіз зловмисної активності вказує на характерні ознаки Mirai-ботнету – однієї з найнебезпечніших мереж, що спеціалізується на DDoS-атаках через IoT-пристрої.
Комплексні заходи захисту мережевої інфраструктури
Для ефективного захисту від виявлених загроз власникам вразливих пристроїв необхідно негайно реалізувати наступні заходи безпеки:
Користувачам TP-Link: Терміново звернутися до служби технічної підтримки для отримання оновленої прошивки або замінити пристрій на сучасну модель з підтримкою автоматичних оновлень безпеки.
Користувачам Zyxel: Встановити останню версію прошивки та налаштувати систему моніторингу мережевої активності для раннього виявлення підозрілих підключень.
Ці інциденти підкреслюють критичну важливість регулярного оновлення мережевого обладнання та проведення систематичних аудитів безпеки домашніх і корпоративних мереж. Використання застарілих пристроїв без підтримки створює серйозні вразливості, якими активно користуються кіберзлочинці для компрометації мережевої інфраструктури та проведення масштабних атак.
