28 خرداد ماه 1404
0 
به گزارش زوم تک به نقل از The Hacker News، آژانس امنیت سایبری و زیرساخت (CISA) ایالات متحده، روز دوشنبه یک نقص امنیتی با شدت بالا در روترهای بیسیم TP-Link را به فهرست آسیبپذیریهای فعال در معرض بهرهبرداری (KEV) خود اضافه کرد و شواهدی از سوءاستفاده فعال را ذکر کرد.
آسیبپذیری مورد بحث CVE-2023-33538 (امتیاز CVSS: ۸.۸) یک نقص «Command Injection» است که میتواند منجر به اجرای دستورات دلخواه سیستم در هنگام پردازش پارامتر ssid1 در یک درخواست HTTP GET بهطور خاص دستکاریشده شود.
این آژانس اعلام کرد: “مدلهای TP-Link TL-WR940N V2/V4، TL-WR841N V8/V10 و TL-WR740N V1/V2 دارای یک آسیبپذیری Command Injection از طریق کامپوننت /userRpm/WlanNetworkRpm هستند.”
CISA همچنین هشدار داده است که احتمال دارد محصولات آسیبدیده به پایان عمر (EoL) و/یا پایان خدمات (EoS) خود رسیده باشند و از کاربران خواسته است در صورت عدم دسترسی به راهکارهای کاهش دهنده، استفاده از آنها را متوقف کنند. طبق اعلام TP-Link، پشتیبانی رسمی از هر سه مدل روتر به پایان رسیده است، به این معنی که احتمالاً هیچ پچ امنیتی دریافت نخواهند کرد. این مدلها به ترتیب در سالهای ۲۰۱۶، ۲۰۱۵ و تقریباً ۱۵ سال پیش آخرین بهروزرسانی فریمور را دریافت کردهاند.
در حال حاضر اطلاعات عمومی در مورد نحوه سوءاستفاده از این نقص در دنیای واقعی، مقیاس حملات و عاملان پشت آنها در دسترس نیست. در دسامبر ۲۰۲۴، Palo Alto Networks Unit 42 فاش کرد که نمونههای بیشتری از بدافزار متمرکز بر فناوری عملیاتی (OT) به نام FrostyGoop (با نام مستعار BUSTLEBERM) را شناسایی کرده است و یکی از آدرسهای IP مربوط به یک دستگاه کنترل ENCO نیز به عنوان یک وب سرور روتر با استفاده از TP-Link WR740N برای تسهیل دسترسی به دستگاه ENCO از طریق یک مرورگر وب عمل کرده است.
با این حال، این شرکت خاطرنشان کرد که “هیچ شواهد محکمی وجود ندارد که نشان دهد مهاجمان از [CVE-2023-33538] در حمله FrostyGoop در جولای ۲۰۲۴ سوءاستفاده کردهاند.”
The Hacker News برای جزئیات بیشتر با TP-Link تماس گرفته است و در صورت دریافت پاسخ، داستان را بهروزرسانی خواهد کرد. با توجه به بهرهبرداری فعال از این آسیبپذیری، سازمانهای فدرال موظفند تا ۷ جولای ۲۰۲۵ این نقص را برطرف کنند.
فعالیت جدیدی که CVE-2023-28771 را هدف قرار میدهد
این افشاگری در حالی صورت میگیرد که GreyNoise در مورد تلاشهای بهرهبرداری از یک نقص امنیتی بحرانی که فایروالهای Zyxel (CVE-2023-28771، امتیاز CVSS: ۹.۸) را تحت تأثیر قرار میدهد، هشدار داده است.
CVE-2023-28771 به یک آسیبپذیری دیگر «Command Injection» در سیستم عامل اشاره دارد که میتواند به یک مهاجم غیرمجاز اجازه دهد تا با ارسال درخواستهای دستکاریشده به یک دستگاه آسیبپذیر، دستورات را اجرا کند. این نقص توسط Zyxel در آوریل ۲۰۲۳ پچ شد.
در حالی که این آسیبپذیری بلافاصله پس از افشای عمومی برای ساخت باتنتهای DDoS مانند میرای (Mirai) مورد استفاده قرار گرفت، شرکت اطلاعات تهدید گفت که تلاشهای فزایندهای را برای بهرهبرداری از آن تا ۱۶ ژوئن ۲۰۲۵ مشاهده کرده است.
گفته میشود که ۲۴۴ آدرس IP منحصر به فرد در مدت زمان کوتاهی در این تلاشها شرکت داشتهاند و فعالیت آنها کشورهای ایالات متحده، بریتانیا، اسپانیا، آلمان و هند را هدف قرار داده است.
GreyNoise گفت: “تحلیل تاریخی نشان میدهد که در دو هفته قبل از ۱۶ ژوئن، این IPها در هیچ رفتار اسکن یا بهرهبرداری دیگری مشاهده نشدند – فقط CVE-2023-28771 را هدف قرار دادند.” این شرکت افزود که “نشانگرهای سازگار با نسخههای باتنت میرای” را شناسایی کرده است.
برای کاهش این تهدید، به کاربران توصیه میشود دستگاههای Zyxel خود را به آخرین نسخه بهروزرسانی کنند، هرگونه فعالیت غیرعادی را رصد کنند و در صورت لزوم، میزان مواجهه را محدود کنند.
نظرات در مورد : هشدار فوری CISA: آسیبپذیری روترهای TP-Link تحت حمله فعال است (CVE-2023-33538)