Уязвимость TP-Link CVE-2023-33538 ведет к загрузке Mirai

CVE-2023-33538 — это command injection vulnerability, затрагивающая несколько моделей TP-Link Wi-Fi routers с истекшим сроком службы. После публичного раскрытия в июне 2023 года уязвимость быстро привлекла внимание злоумышленников: телеметрия зафиксировала попытки автоматизированной эксплуатации, а основным полезным payload стали вредоносные binary files, напоминающие компоненты Mirai.

Ситуация наглядно показывает, что устройства IoT по-прежнему остаются уязвимыми из-за широкого использования учетных данных по умолчанию и слабой защиты устаревшей прошивки. При этом наблюдаемые атаки были не единичными: они начались практически одновременно с объявлением CVE и демонстрировали типичное поведение botnet.

Что известно об эксплуатации

По данным отчета, одна из наиболее заметных находок — arm7 binary, идентифицированный как вариант Mirai. Он взаимодействует с C2 server, связанный с известными malicious domains, и использует простой протокол обмена командами.

Через этот канал malware получает следующие инструкции:

• heartbeat checks;
• server status reports;
• malware updates;
• quarantine conditions;
• other infection-related mechanisms.

Иными словами, инфраструктура атаки выстроена не вокруг разового взлома, а вокруг устойчивого управления зараженными устройствами.

Где возникает уязвимость

Уязвимость связана с пробелом в authentication bypass, который проявляется в некорректной проверке ввода в функции wirelessConfigUpdate(). Необработанные данные могут передаваться через параметр SSID, в частности ssid1.

Это означает, что при корректно выбранной цели злоумышленник способен внедрить shell commands, что потенциально позволяет:

• нарушить работу устройства;
• запустить постоянное malware;
• получить дополнительные возможности контроля над router.

В то же время отчет отмечает важную деталь: одна из попыток эксплуатации была направлена на неверный path к параметру. Такой промах может помешать успешной атаке, даже если сама уязвимость остается exploitable.

Ограничения прошивки и их значение

Тестирование показало, что встроенная BusyBox в firmware лишена ряда распространенных utilities. Это ограничивает набор действий, доступных атакующему сразу после получения доступа.

Тем не менее, наличие таких функций, как tftp, создает дополнительные риски. Подобные инструменты могут быть использованы для загрузки файлов и дальнейшего развития compromise устройства.

Таким образом, между теоретической уязвимостью и ее практической эксплуатацией сохраняется заметный разрыв: возможности атаки есть, но они сдерживаются ограниченным набором команд в прошивке.

Почему это важно

История с CVE-2023-33538 еще раз подтверждает: устаревшие consumer devices, особенно с открытыми или предсказуемыми учетными данными, остаются удобной целью для botnet-операторов. Даже если конкретная реализация атаки сталкивается с техническими ограничениями, массовость сканирования и автоматизированные попытки эксплуатации показывают, что такие уязвимости быстро становятся частью реальной вредоносной активности.

В условиях, когда устройства уже сняты с поддержки, а обновления firmware не выпускаются, риск переходит из категории потенциального в категорию практического — и именно это делает подобные отчеты особенно значимыми для отрасли кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.