攻击者持续一年尝试利用CVE-2023-33538漏洞但均未成功

黑客针对旧款TP-Link路由器漏洞发起长达一年的攻击

黑客持续一年多尝试利用TP-Link老旧路由器中的高危漏洞（CVE-2023-33538，CVSS评分8.8），但至今未发现成功案例。该命令注入漏洞存在于/userRpm/WlanNetworkRpm组件中，影响多款路由器型号（包括TL-WR940N v2/v4、TL-WR740N v1/v2及TL-WR841N v8/v10）。

美国网络安全和基础设施安全局（CISA）于2025年6月将该漏洞列入"已知被利用漏洞目录"，要求联邦机构在2025年7月7日前完成修复。该漏洞于2023年6月披露，问题出在/userRpm/WlanNetworkRpm端点的ssid1参数未进行充分净化处理，攻击者可通过构造特殊HTTP请求注入命令，最终实现设备上的任意代码执行。相关PoC曾短暂出现在网络，现仍可通过网页存档获取。

攻击活动技术分析

Palo Alto Networks发布的报告指出："我们的遥测系统在2025年6月该漏洞被列入KEV目录时，检测到大规模活跃攻击尝试。"研究人员观察到攻击者向/userRpm/WlanNetworkRpm.htm端点发送HTTP GET请求，试图滥用ssid参数执行多步操作：首先从远程服务器下载名为arm7的恶意ELF文件至/tmp目录，随后修改文件权限使其可执行，最终携带特定参数运行。

这些请求使用Base64编码的默认凭证admin:admin进行基本认证，攻击模式符合Mirai类恶意软件特征。报告指出："arm7二进制文件与Condi IoT僵尸网络所用样本相似，文件代码中多次出现condi字符串。"该恶意程序会连接C2服务器，通过检测网络套接字中的特定字节模式执行不同操作，包括状态反馈、启停控制、锁定模式切换及内嵌HTTP服务器激活等。

恶意软件更新与传播机制

当触发更新时，程序会调用内置函数删除旧文件，连接硬编码C2服务器（51.38.137[.]113）下载适配多种CPU架构的新版本。其C2基础设施与已知Mirai类僵尸网络活动存在关联。在特定指令下，受感染设备会转变为Web服务器，随机选择端口开启HTTP服务，用于向其他受感染设备分发恶意程序，实现僵尸网络扩散。

漏洞利用失败原因剖析

Palo Alto Networks对TP-Link路由器漏洞利用失败原因进行了技术还原。漏洞根源于Web界面处理/userRpm/WlanNetworkRpm.htm端点ssid1参数时的净化缺失，攻击者可构造包含系统命令的SSID值，最终通过shell执行。完整利用链包括：HTTP请求解析→SSID值提取→配置结构存储→变更检测→构建含恶意SSID的iwconfig命令→shell执行。

研究人员通过固件模拟复现漏洞时发现：设备要求认证凭据，多数情况下使用默认或弱密码；路由器运行精简版BusyBox shell，缺乏wget等关键工具，极大限制了攻击实效。报告结论指出："无论是公开PoC还是实际观测到的攻击尝试，均未能成功入侵我们分析的TP-Link路由器环境。固件分析表明理论漏洞与实际利用存在显著差距。"

现实攻击存在的三大缺陷

• 未通过身份验证
• 错误定位参数（使用ssid而非ssid1）
• 依赖固件环境中不存在的wget工具

这反映出攻击者常使用不完整或不准确的漏洞代码进行扫描探测，导致攻击行为虽具规模但最终无效。