Angriff auf TP-Link-Router mit Mirai-Malware durch Ausnutzung der Schwachstelle CVE-2023-33538

Ein bekannter Sicherheitsfehler in mehreren TP-Link Wi-Fi-Routern, die das Ende ihrer Lebensdauer erreicht haben, wird aktiv, die versuchen, auf anfälligen Geräten Mirai-basiertes Botnet-Malware z Ein bekannter Sicherheitsfehler in mehreren TP-Link Wi-Fi-Routern, die das Ende ihrer Lebensdauer erreicht haben, wird aktiv, die versuchen, auf anfälligen Geräten Mirai-basiertes Botnet-Malware zu installieren.

Die Schwachstelle, die als CVE-2023-33538 verfolgt wird, betrifft mehrere TP-Link-Modelle, die keine Updates vom Hersteller mehr erhalten, wodurch die Benutzer keinen offiziellen Patch anwenden können. Die betroffenen Router sind TL-WR940N (Versionen 2 und 4), TL-WR740N (Versionen 1 und 2) und TL-WR841N (Versionen 8 und 10).

Diese Geräte weisen eine gemeinsame Schwäche in ihren Web-Management-Schnittstellen auf, bei der ein bestimmter Parameter in einer HTTP GET-Anfrage nicht ordnungsgemäß auf schädliche Inhalte überprüft wird.

Diese fehlende Eingabevalidierung gibt Angreifern eine klare Möglichkeit, Befehle auf dem Router zu injizieren und auszuführen, ohne dass auf dem Gerät eine Warnung ausgelöst wird. Die Angriffe funktionieren, indem bösartige HTTP GET-Anfragen an den Endpunkt /userRpm/WlanNetworkRpm gesendet werden.

Die Anfragen enthalten Befehle, die im ssid-Parameter eingebettet sind, welche die Firmware des Routers ohne Filterung schädlicher Eingaben verarbeitet.