La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el lunes fallas de seguridad de alta resistencia en los enrutadores inalámbricos TP-Link a su conocido catálogo de vulnerabilidades explotadas (KEV), citando evidencia de explotación agresiva.
La vulnerabilidad en cuestión es CVE-2023-33538 (puntaje CVSS: 8.8). Este es un error de inyección de comandos que podría hacer que los comandos del sistema arbitrarios se ejecuten al procesar los parámetros SSID1 en una solicitud de obtención HTTP especialmente creada.
«TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10 y TL-WR740N V1/V2 contienen vulnerabilidades de inyección de comandos a través de componente/userrpm/wlannetWorkRPM».
CISA también advierte que los productos afectados pueden ser al final de la vida (EOL) y/o la terminación del servicio (EOS), lo que insta a los usuarios a suspender el uso si la mitigación no está disponible.
Actualmente no hay información pública sobre cómo se explotan los defectos en la naturaleza.
En diciembre de 2024, la Unidad de Palo Alto Networks 42 identificó una muestra adicional de malware centrada en una tecnología operativa (OT) llamada Frostygooop (también conocida como Bustleberm), y reveló que una de las direcciones IP correspondientes al dispositivo de control CONCO actúa como un servidor web de enrutador utilizando el enlace TP WR740N, que accede y accede desde el dispositivo COCO.
Sin embargo, señaló además que «no hay evidencia difícil para demostrar que los atacantes habían explotado los ataques en el ataque de Frostigup de julio de 2024».
Hacker News ha sido contactado TP-Link para obtener más detalles. Si ha oído hablar de él, actualice la historia. A la luz de la explotación activa, las agencias federales deben arreglar los defectos antes del 7 de julio de 2025.
La nueva actividad está dirigida a CVE-2023-28771
La divulgación se produce cuando Greynoise advierte sobre los intentos de explotar fallas de seguridad de apuntar a la seguridad que afectan el firewall Zyxel (CVE-2023-28771, puntaje CVSS: 9.8).
CVE-2023-28771 se refiere a una vulnerabilidad en otra inyección de comandos del sistema operativo. Esto permite a los atacantes no autorizados ejecutar comandos enviando solicitudes de artesanía a dispositivos confidenciales. Zyxel aplicó el parche en abril de 2023.
La vulnerabilidad se armó para construir una botnet DDOS como Mirai poco después de su divulgación pública, pero la compañía de inteligencia de amenazas dijo que había descubierto un intento creciente de explotarlo de la misma manera que el 16 de junio de 2025.
Se dice que hasta 244 direcciones IP únicas participaron en un breve esfuerzo, con actividades dirigidas a los Estados Unidos, el Reino Unido, España, Alemania e India.
«El análisis histórico muestra que dos semanas antes del 16 de junio, no se observó que estos IP estuvieran involucrados en otros escaneos o comportamientos de mal uso, diciendo que estaban apuntando a CVE-2023-28771 solamente.
Para mitigar las amenazas, se aconseja a los usuarios que actualicen sus dispositivos Zyxel a la última versión, controlen la actividad inusual y limiten la exposición si corresponde.
Source link
