A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) adicionou na segunda-feira uma falha de segurança de alta gravidade em roteadores sem fio da TP-Link ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), citando evidências de exploração ativa.
A vulnerabilidade em questão é a
CVE-2023-33538
(pontuação CVSS: 8.8), um bug de injeção de comando que pode resultar na execução de comandos do sistema arbitrários ao processar o parâmetro ssid1 em uma solicitação HTTP GET especialmente criada.
"Os dispositivos TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10 e TL-WR740N V1/V2 contêm uma vulnerabilidade de injeção de comando via o componente /userRpm/WlanNetworkRpm," disse a agência.
A CISA também alertou que há a possibilidade de que os produtos afetados estejam no fim de vida útil (EoL) ou no fim do serviço (EoS), instando os usuários a descontinuar seu uso se não houver medidas de mitigação disponíveis.
Atualmente, não há informações públicas sobre como essa vulnerabilidade pode ser explorada.
Em dezembro de 2024, a Unit 42 da Palo Alto Networks revelou que havia identificado amostras adicionais de um malware centrado em tecnologia operacional (OT) chamado FrostyGoop (também conhecido como BUSTLEBERM) e que um dos endereços IP correspondentes a um dispositivo de controle ENCO também atuava como um servidor web de roteador usando TP-Link WR740N para facilitar o acesso ao dispositivo ENCO a partir de um navegador web.
Contudo, foi ressaltado que "não há provas concretas para indicar que os atacantes exploraram [
CVE-2023-33538
] no ataque FrostyGoop de julho de 2024.
O The Hacker News entrou em contato com a TP-Link para obter mais detalhes, e atualizaremos a história se recebermos uma resposta.
Diante da exploração ativa, as agências federais são obrigadas a remediar a falha até 7 de julho de 2025.
Nova Atividade Visa
CVE-2023-28771
A revelação surge enquanto a GreyNoise alertou sobre tentativas de exploração de uma falha crítica de segurança impactando firewalls da Zyxel (
CVE-2023-28771
, pontuação CVSS: 9.8).
CVE-2023-28771
refere-se a outra vulnerabilidade de injeção de comando do sistema operacional que poderia permitir a um atacante não autenticado executar comandos enviando solicitações criadas a um dispositivo suscetível.
Foi corrigido pela Zyxel em abril de 2023.
Apesar da vulnerabilidade ter sido armada para construir botnets de negação de serviço distribuído (DDoS) como o Mirai logo após a divulgação pública, a empresa de inteligência de ameaças disse que observou tentativas intensificadas de explorá-la tão recentemente quanto 16 de junho de 2025.
Diz-se que até 244 endereços IP únicos participaram dos esforços em um curto espaço de tempo, com a atividade alvejando os Estados Unidos, Reino Unido, Espanha, Alemanha e Índia.
"Análises históricas indicam que nas duas semanas anteriores a 16 de junho, esses IPs não foram observados engajando em qualquer outro comportamento de scanning ou exploração — apenas visando
CVE-2023-28771
," disse a GreyNoise, acrescentando ter identificado "indicadores consistentes com variantes de botnet Mirai." Para mitigar a ameaça, recomenda-se aos usuários que atualizem seus dispositivos Zyxel para a versão mais recente, monitorem qualquer atividade anômala e limitem a exposição quando aplicável.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...