米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は月曜日、TP-Linkの無線ルーターにおける高深刻度のセキュリティ欠陥を、既知の悪用された脆弱性 (KEV) カタログに追加しました。活発な悪用の証拠があるとしています。
問題の脆弱性はCVE-2023-33538 (CVSSスコア: 8.8) で、特別に細工されたHTTP GETリクエストのssid1パラメータを処理する際に、任意のシステムコマンドを実行できるコマンドインジェクションバグです。
「TP-Link TL-WR940N V2/V4、TL-WR841N V8/V10、TL-WR740N V1/V2には、/userRpm/WlanNetworkRpmコンポーネントを介したコマンドインジェクションの脆弱性が含まれています」と同庁は述べています。
CISAはまた、影響を受ける製品が寿命終了(EoL)および/またはサービス終了(EoS)である可能性があると警告し、利用可能な緩和策がない場合は使用を中止するようユーザーに促しています。
現時点では、この欠陥が野外でどのように悪用されるかについての公の情報はありません。
2024年12月、Palo Alto Networks Unit 42は、運用技術(OT)を中心としたマルウェアであるFrostyGoop(別名BUSTLEBERM)の追加サンプルを特定し、ENCO制御デバイスに対応するIPアドレスの一つがTP-Link WR740Nを使用してウェブブラウザからENCOデバイスにアクセスするルーターウェブサーバーとしても機能していることを明らかにしました。
しかし、「2024年7月のFrostyGoop攻撃で[CVE-2023-33538]が悪用されたという確固たる証拠はない」とも指摘しています。
The Hacker NewsはTP-Linkにさらなる詳細を求めており、回答があれば記事を更新します。活発な悪用を受けて、連邦機関は2025年7月7日までにこの欠陥を修正する必要があります。
新たな活動がCVE-2023-28771を標的に#
この開示は、GreyNoiseがZyxelファイアウォールに影響を与える重大なセキュリティ欠陥 (CVE-2023-28771, CVSSスコア: 9.8) を狙った悪用試行を警告した際に行われました。
CVE-2023-28771は、細工されたリクエストを脆弱なデバイスに送信することで、認証されていない攻撃者がコマンドを実行できるオペレーティングシステムのコマンドインジェクション脆弱性を指します。これは2023年4月にZyxelによって修正されました。
この脆弱性は公開後すぐにMiraiのような分散型サービス拒否(DDoS)ボットネットを構築するために武器化されましたが、脅威インテリジェンス企業は2025年6月16日にもそれを悪用しようとする試みが増加していることを確認しました。
短期間で244ものユニークなIPアドレスがこの試みに参加したとされ、活動はアメリカ、イギリス、スペイン、ドイツ、インドを標的にしています。
「歴史的分析によると、6月16日に先立つ2週間で、これらのIPは他のスキャンや悪用行動には関与しておらず、CVE-2023-28771のみを標的にしていた」とGreyNoiseは述べ、”Miraiボットネットの変種と一致する指標”を特定したと付け加えました。
脅威を軽減するために、ユーザーはZyxelデバイスを最新バージョンに更新し、異常な活動を監視し、適用可能な場合は露出を制限することが推奨されます。
翻訳元: https://thehackernews.com/2025/06/tp-link-router-flaw-cve-2023-33538.html