TP-Link Router Flaw CVE-2023-33538 Under Active Exploit, CISA Issues Immediate Alert
2025/06/17 TheHackerNews — 2025年6月16日 (月) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、TP-Link 製 WiFi ルーターに存在する深刻な脆弱性を KEV カタログに登録し、現在も悪用されている証拠を提示した。このコマンド・インジェクションの脆弱性 CVE-2023-33538 (CVSS:8.8) を悪用する攻撃者は、細工された HTTP GET リクエストの ssid1 パラメータを処理する際に、任意のシステム・コマンド実行の可能性を手にするという。
CISA は、「TP-Link TL-WR940N V2/V4/TL-WR841N V8/V10/TL-WR740N V1/V2 には、/userRpm/WlanNetworkRpm コンポーネントを介したコマンド・インジェクションの脆弱性が存在する」と述べている。
CISA は、これらの製品が、サポート終了 (EoL) または、サービス終了 (EoS) になる可能性もあると警告し、緩和策が入手できない場合には使用を中止するよう、ユーザーに促している。
現時点において、この脆弱性の悪用方法については、公開情報が存在しない。
2024年12月の時点で Palo Alto Networks Unit 42 は、OT 環境に展開されているマルウェア FrostyGoop (別名 BUSTLEBERM) の追加サンプルを特定した。その際に、ENCO 制御デバイスに対応する IP アドレスの1つが、TP-Link WR740N を使用してルーター Web サーバーとしても機能し、Web ブラウザから ENCO デバイスへのアクセスを提供していることを明らかにした。
その一方で Unit 42 は、「2024年7月の FrostyGoop 攻撃において、CVE-2023-33538 の悪用を示す確固たる証拠はない」と指摘している。
Hacker News は TP-Link に足して詳細を問い合わせており、回答が得られ次第、この記事を更新していく。現在も悪用が続いていることを踏まえ、CISA は連邦政府機関に対して、この脆弱性を 2025年7月7日までに修正するよう指示している。
新たな活動は CVE-2023-28771 が標的
その一方で GreyNoise は、Zyxelファイアウォールに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2023-28771 (CVSS:9.8) が、サイバー攻撃の対象にされていると警告を発している。
この CVE-2023-28771 も、OS コマンド・インジェクションの脆弱性であり、未認証の攻撃者が、細工したリクエストを脆弱なデバイスに送信することで、コマンド実行の可能性が生じる。この脆弱性は、2023年4月に Zyxel により修正されている。
この脆弱性、情報が公開された直後から、Mirai などの分散型サービス拒否 (DDoS) ボットネットの構築に悪用されてきたが、脅威インテリジェンス企業である GreyNoiseは、つい先日の 2025年6月16日の時点でも、この脆弱性を悪用しようとする試みが活発化していると指摘している。
短期間のうちに、最大で 244の固有 IP アドレスが、この活動に追加され、米国/英国/スペイン/ドイツ/インドが標的とされている。
GreyNoise は、「過去の分析によると、6月16日までの2週間において、これらの IP アドレスは CVE-2023-28771 だけを標的としていた。また、その他のスキャンやエクスプロイト行為は確認されていない。Mirai ボットネットの亜種と一致する兆候を特定した」と付け加えている。
ユーザーに強く推奨されるのは、 Zyxel デバイスを最新バージョンに更新し、異常なアクティビティを監視し、脅威を軽減することである。
TP-Link 製ルーターにおける CVE-2023-33538 は、EoL への以降が絡むため、パッチ入手が困難な点が最大のリスクです。悪用が進行中である以上、即時の使用停止を検討すべきと、この記事は指摘しています。また、Zyxel の CVE-2023-28771 は、Mirai 系の活動が再燃しており、対処が必要な状況となっています。よろしければ、TP-Link で検索と、Zyxel で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.