Palo Alto Networks beobachtet die Aktivitäten rund um CVE-2023-33538 seit dem vergangenen Jahr. Bei der Schwachstelle handelt es sich um eine authentifizierte Command-Injection-Lücke, die aus der fehlenden Bereinigung des Parameters ssid1 in HTTP-GET-Anfragen resultiert. Der CVSS-Wert liegt bei 8.8.

„Ein Angreifer könnte Befehle an diesen Parameter senden. Das würde es entfernten Angreifern erlauben, speziell gestaltete Anfragen zu übermitteln, was zu einer Command Injection führt und theoretisch die Ausführung beliebiger Systembefehle auf dem WLAN-Router ermöglicht“, erläutert Palo Alto Networks.

Verwundbar sind dem Unternehmen zufolge die TP-Link-Modelle TL-WR940N in den Versionen v2 und v4, TL-WR740N in v1 und v2 sowie TL-WR841N in v8 und v10. Proof-of-Concept-Code für die Lücke ist bereits seit fast drei Jahren öffentlich verfügbar.

Im vergangenen Jahr nahm die US-Cybersicherheitsbehörde CISA die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf. Sie wies darauf hin, dass es sich um Produkte handelt, deren Lebenszyklus und Support beendet sind, und forderte Bundesbehörden auf, diese Geräte umgehend außer Betrieb zu nehmen.

Die seither beobachteten Angriffe stützen sich auf Mirai-basierte Schadprogramme, die den Binärdateien des Condi-IoT-Botnetzes ähneln. Die Schadsoftware ist darauf ausgelegt, infizierte Geräte in HTTP-Server zu verwandeln, die wiederum Schadcode an anfragende Clients – also weitere infizierte Geräte – ausliefern.

Die Untersuchung von Palo Alto Networks bestätigte die Existenz der zugrunde liegenden Schwachstelle, deckte jedoch zugleich Fehler im Exploit-Code auf, die einen erfolgreichen Angriff verhinderten. So versuchten die Angreifer den Zugriff ohne Authentifizierung, adressierten den falschen Parameter und verließen sich auf ein Werkzeug, das in der BusyBox-Umgebung der verwundbaren Geräte nicht vorhanden ist.

„Dies zeigt ein verbreitetes Angriffsmuster, bei dem mit unvollständigem oder fehlerhaftem Exploit-Code gescannt und sondiert wird – was zu lauten, letztlich aber wirkungslosen Angriffen führt“, so das Unternehmen.

Ein erfolgreicher Angriff auf die Command-Injection-Lücke könnte laut Palo Alto Networks zu Denial-of-Service-Zuständen führen oder Angreifern dauerhaften Zugriff auf die betroffenen Geräte verschaffen.