パロアルトネットワークスによると、ハッカーは廃止されたTP-Linkルーターの脆弱性を1年間狙ってきたが、これまでのところ正常に悪用することに失敗している。
CVE-2023-33538として追跡されているこの脆弱性(CVSSスコア8.8)は、HTTPGETリクエストのssid1パラメータのサニタイゼーション不足に根ざした認証済みコマンドインジェクション問題として説明されている。
「攻撃者がこのパラメータにコマンドを送信することができます。これにより、リモート攻撃者は特殊なリクエストを送信でき、コマンドインジェクションが発生し、理論的にはWi-Fiルーター上で任意のシステムコマンド実行につながる可能性があります」とパロアルトネットワークスは説明している。
この脆弱性は、TP-LinkのTL-WR940N v2およびv4、TL-WR740N v1およびv2、TP-LinkのTL-WR841N v8およびv10ルーターモデルに影響を与えるとサイバーセキュリティ企業は述べている。
このCVEを対象とするプルーフオブコンセプト(PoC)エクスプロイトコードは、ほぼ3年間公開されている。
昨年6月、米国サイバーセキュリティ庁のCISAがこのバグを既知の悪用された脆弱性(KEV)カタログに追加し、ライフエンド(EoL)およびサービス終了(EoS)製品に影響を与え、連邦機関にこれらのデバイスの使用を直ちに中止するよう促している。
現在、パロアルトネットワークスは述べているCVE-2023-33538の悪用に関する活動で、昨年6月から追跡されているもので、Condi IoTボットネットバイナリーと同様のMiraiベースのペイロードが関連していると述べている。
ペイロードは、感染したデバイスをHTTPサーバーに変え、要求するクライアント(他の感染したデバイス)にマルウェアバイナリーを配信するよう設計されていた。
パロアルトネットワークスの悪用試行への調査により、基礎となる脆弱性の存在を確認しながら、攻撃者がCVEを正常に悪用することを防いだエクスプロイトコードのエラーを発見した。
ハッカーは認証なしでバグの悪用を試みて、間違ったパラメータを対象にして、脆弱性のあるデバイスのBusyBox環境に存在しないユーティリティに依存していたとそれは述べている。
「これは、不完全または不正確なエクスプロイトコードによるスキャンおよびプロービングの一般的な攻撃パターンを実証しており、ノイズが多いが最終的には効果のない攻撃が発生します」とサイバーセキュリティ企業は述べている。
パロアルトネットワークスによると、コマンドインジェクション問題の悪用に成功すると、サービス拒否(DoS)条件を引き起こすか、攻撃者が脆弱性のあるデバイスへの永続的なアクセスを実現できる可能性があります。
翻訳元: https://www.securityweek.com/hackers-fail-to-exploit-flaw-in-discontinued-tp-link-routers/
