Активность ботнетов, нацеленная на уязвимости в старом сетевом оборудовании, остается одной из самых заметных угроз для безопасности интернета вещей (IoT). Однако реальная опасность таких атак часто преувеличивается из-за использования злоумышленниками нерабочих эксплойтов. Новое исследование специалистов компании Palo Alto Networks демонстрирует этот парадокс на примере уязвимости в нескольких снятых с поддержки роутерах TP-Link. Хотя наблюдаемые в сети массовые атаки были ошибочными и не могли привести к успешному заражению, сама уязвимость представляет серьезную угрозу для устройств, на которых остались стандартные учетные данные для входа.
Описание
Речь идет об уязвимости, получившей идентификатор CVE-2023-33538. Она затрагивает модели роутеров TP-Link, поддержка которых производителем уже прекращена: TL-WR940N версий 2 и 4, TL-WR740N версий 1 и 2, а также TL-WR841N версий 8 и 10. Проблема заключается в недостаточной проверке входных данных в веб-интерфейсе управления устройством. Специалисты Palo Alto Networks отметили всплеск активности, связанный с этой CVE, после того как в июне 2025 года Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) внесло её в свой каталог активно эксплуатируемых уязвимостей (KEV). Злоумышленники проводили автоматические сканирования и атаки, пытаясь внедрить команды через параметр "ssid1" на уязвимой странице "/userRpm/WlanNetworkRpm.htm".
Целью атак было заражение устройств вредоносным ПО, похожим на ботнет Mirai. Полезная нагрузка представляла собой исполняемый файл для архитектуры ARM, загружаемый с контролируемого злоумышленниками сервера. Однако, проведя детальный анализ с помощью эмуляции прошивки роутера TP-Link TL-WR940N, исследователи обнаружили несколько критических недостатков в наблюдаемых в сети эксплойтах. Во-первых, атаки были неаутентифицированными, тогда как для эксплуатации уязвимости необходима авторизация в веб-интерфейсе. Во-вторых, в попытках использовался неверный параметр ("ssid" вместо "ssid1"). В-третьих, сценарий заражения полагался на утилиту "wget", которая отсутствует в урезанной версии командной оболочки BusyBox, используемой в прошивке роутера.
Тем не менее, технический анализ подтвердил, что сама уязвимость является реальной и опасной. Проблема заключается в цепочке обработки запроса к веб-интерфейсу. Некорректно обработанное значение параметра "ssid1" (имя беспроводной сети) в конечном итоге передается функции "execve("/bin/sh")", что позволяет выполнить произвольные команды на устройстве. Ключевым условием для эксплуатации является наличие действующей сессии администратора. Именно здесь на первый план выходит главная проблема безопасности IoT-устройств - повсеместное использование стандартных логинов и паролей. Для веб-интерфейса уязвимых роутеров TP-Link таковыми являются "admin:admin". Исследователям удалось создать рабочий эксплойт, который, имея эти учетные данные, получает сессионный токен, а затем через уязвимый параметр "ssid1" внедряет и выполняет команды на роутере, например, модифицируя загрузочные скрипты для закрепления в системе.
Таким образом, хотя шумные и массовые атаки с некорректными эксплойтами не приводят к успеху, они маскируют более целенаправленную и скрытую угрозу. Злоумышленник, знающий о наличии уязвимости и способный подобрать или заранее узнать стандартные учетные данные, может получить полный контроль над устройством. Это открывает путь для интеграции роутера в ботнет для проведения DDoS-атак, скрытого майнинга криптовалюты или организации прокси-сервера для других нелегальных операций. Поскольку производитель не выпускает и не будет выпускать заплатки для снятых с поддержки устройств, единственной адекватной мерой защиты остается их замена на современные поддерживаемые модели. Для тех, кто временно не может обновить оборудование, критически важно изменить пароль по умолчанию на сложный и уникальный, а также по возможности ограничить доступ к веб-интерфейсу управления из внешней сети. Этот случай наглядно показывает, что в экосистеме интернета вещей устаревшее ПО и человеческая беспечность создают риск, который часто оказывается гораздо серьезнее, чем технические изъяны в коде.
Индикаторы компрометации
IPv4
- 51.38.137.113
Domains
- bot.ddosvps.cc
- cnc.vietdediserver.shop
URLs
- http://51.38.137.113/arm
- http://51.38.137.113/arm5
- http://51.38.137.113/arm6
- http://51.38.137.113/arm7
- http://51.38.137.113/mips
- http://51.38.137.113/sh4
- http://51.38.137.113/x86_64
- http://bot.ddosvps.cc/top1hbt.arm
- http://bot.ddosvps.cc/top1hbt.arm5
- http://bot.ddosvps.cc/top1hbt.arm6
- http://bot.ddosvps.cc/top1hbt.arm7
- http://bot.ddosvps.cc/top1hbt.mips
- http://bot.ddosvps.cc/top1hbt.mpsl
- http://bot.ddosvps.cc/top1hbt.sh4
- http://bot.ddosvps.cc/top1hbt.x86_64
SHA256
- 00078aeeaca54b5d3c1237e964e9f956690b782e4ea160d81edc3c6b44e7f620
- 3fbd2a2e82ceb5e91eadbad02cb45ac618324da9b1895d81ebe7de765dca30e7
- 4caaa18982cd4056fead54b98d57f9a2a1ddd654cf19a7ba2366dfadbd6033da
- 534b654531a6a540a144da9545ee343e1046f843d7de4c1091b46c3ee66a508b
- 56f21f412e898ad9e3ee05d5f44c44d9d7bcb9ecbfbdb9de11b8fa5a637aeef6
- 7bbb21fec19512d932b7a92652ed0c8f0fedea89f34b9d6f267cf39de0eb9b20
- 919f292a07a37f163f88527e725406187c8ecc637387ad24853fe49ce4e6ddf4
- 9df711c3aef2bba17b622ddfd955452f8d8eb55899528fbc13d9540c52f13402
- c321933e4e5970ba7299fe21778dab9398994c22ca0ba0422c6cbc3fbb95ea26
