吳明宜TP-Link 及兆勤 (Zyxel) 這兩個品牌家用網路設備產品的舊漏洞,在近日雙雙出現被利用的消息。
美國網路安全暨基礎架構管理署 (CISA) 最近將 TP-Link 一項無線路由器高風險漏洞加入已知遭濫用漏洞 (Known Exploited Vulnerabilities, KEV) 清單,意味已出現濫用程式,要求聯邦政府部門做好防範。
被濫用的是 CVE-2023-33538 。 CVE-2023-33538 為 2023 年公佈且修補的漏洞,可讓攻擊者利用/userRpm 路徑下的 WlanNetworkRpm 元件注入並執行惡意指令,為 CVSS score 8.8 的高風險漏洞。該漏洞影響 TP-Link 三款家用或 SOHO 的路由器產品,包括 TP-Link TL-WR940N V2/V4 、 TL-WR841N V8/V10 及 TL-WR740N V1/V2 。
此外,安全廠商 GreyNoise 警告,兆勤防火牆產品漏洞 CVE-2023-28771 在 2 年前後,又再度被用來發動攻擊。 CVE-2023-28771 為一錯誤訊息處理不當漏洞,可用以遠端執行指令,為 CVSS score 9.8 的重大漏洞。兆勤已在同年修補完成。
2023 年 11 月,資安研究單位發現有駭客在 5 月間利用 CVE-2023-28771 駭入了 11 個丹麥能源機構。經過追查,發現受害組織竟高達 22 家。
時隔兩年,GreyNoise 近日又發現另一波鎖定 CVE-2023-28771 的攻擊活動。這波攻擊可能和 Mirai 殭屍網路病毒變種有關,所有高達 244 個攻擊來源 IP 位址都是為此才設立的。攻擊對象主要分佈於美、英、西班牙、德國和印度。來源 IP 是來自美國,但研究人員相信,真正來源可能被隱藏起來。
安全廠商呼籲 Zyxel 防火牆用戶儘速安裝最新版本,並且使用網路過濾機制,減少曝險,也應監控 log 是否有異常活動。
來源:The Hacker News 、 SecurityWeek