ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Pazartesi günü, TP-Link kablosuz yönlendiricilerinde bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna yüksek şiddetli bir güvenlik kusuru ekledi.
Söz konusu güvenlik açığı, özel olarak hazırlanmış bir HTTP GET isteğinde SSID1 parametresini işlerken keyfi sistem komutlarının yürütülmesine neden olabilecek bir komut enjeksiyon hatası olan CVE-2023-33538 (CVSS skoru: 8.8).
Ajans, “TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10 ve TL-WR740N V1/V2,/USERRPM/WLANNETWorkRPM bileşeni aracılığıyla bir komut enjeksiyon güvenlik açığı içeriyor.”
CISA ayrıca, etkilenen ürünlerin yaşam sonu (EOL) ve/veya hizmet sonu (EOS) olabileceği olasılığı olduğu konusunda da uyardı ve kullanıcıları herhangi bir azaltma yoksa kullanımlarını durdurmaya çağırdı.
Şu anda eksikliğin vahşi doğada nasıl kullanılabileceği hakkında kamuya açık bir bilgi yoktur.
Aralık 2024’te Palo Alto Networks Unit 42, FrostyGoop (diğer adıyla Bustleberm) adı verilen bir operasyonel teknoloji (OT) merkezli kötü amaçlı yazılımın ek örneklerini belirlediğini ve bir enco kontrol cihazına karşılık gelen IP adreslerinden birinin, bir web tarayıcısından TP-link WR740N kullanılarak TP-Link WR740N kullanılarak hareket ettiğini ortaya koydu.
Ancak ayrıca, “saldırganların sömürdüğünü gösteren zor bir kanıt yok [CVE-2023-33538] Temmuz 2024’te Frostygoop saldırısı. “
Hacker News, daha fazla ayrıntı için TP-Link’e ulaştı ve tekrar duyarsak hikayeyi güncelleyeceğiz. Aktif sömürü ışığında, federal ajansların 7 Temmuz 2025’e kadar kusuru düzeltmeleri gerekmektedir.
Yeni Etkinlik Hedefleri CVE-2023-28771
Açıklama, Geynoise’in zyxel güvenlik duvarlarını etkileyen kritik bir güvenlik kusurunu hedefleyen istismar girişimleri konusunda uyardığı gibi geliyor (CVE-2023-28771, CVSS skoru: 9.8).
CVE-2023-28771, duyarlı bir cihaza hazırlanmış istekler göndererek kimlik doğrulanmamış bir saldırganın komutları yürütmesine izin verebilecek başka bir işletim sistemi komut enjeksiyon güvenlik açığını ifade eder. Nisan 2023’te Zyxel tarafından yamalandı.
Kamu açıklamasından kısa bir süre sonra Mirai gibi dağıtılmış hizmet reddi (DDOS) botnetleri inşa etmek için kırılganlık silahlandırılmış olsa da, tehdit istihbarat firması 16 Haziran 2025’e kadar onu sömürmek için daha yüksek girişimleri tespit ettiğini söyledi.
ABD, İngiltere, İspanya, Almanya ve Hindistan’ı hedefleyen faaliyetle, kısa bir zaman aralığındaki çabalara 244 benzersiz IP adresinin katıldığı söyleniyor.
“Tarihsel analiz, 16 Haziran’dan önceki iki hafta içinde, bu IP’lerin başka bir tarama veya istismar davranışına girmediğini-sadece CVE-2023-28771’i hedefleyen” olduğunu gösteriyor.
Tehditi azaltmak için kullanıcıların zyxel cihazlarını en son sürümle güncellemeleri, herhangi bir anormal aktivite için izlemeleri ve uygulanabilir olduğu yerlerde maruz kalmayı sınırlamaları önerilir.