18/06/25
Об этом предупреждает Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), добавившее проблему в свой каталог активно эксплуатируемых уязвимостей. Речь идёт о критической уязвимости типа Command Injection, получившей идентификатор CVE-2023-33538 и оценку 8,8 балла по шкале CVSS, пишет Securitylab.
Она позволяет злоумышленнику удалённо выполнять произвольные команды на маршрутизаторе без авторизации. Проблема кроется в веб-интерфейсе управления: при обработке определённого параметра в GET-запросе устройства не фильтруют ввод пользователя должным образом, что даёт возможность внедрить вредоносные команды.
Особую опасность уязвимость представляет на маршрутизаторах, имеющих внешний доступ — например, если включено удалённое администрирование. Но даже если устройство не выходит в интернет напрямую, атака возможна изнутри локальной сети — например, через заражённый ноутбук или смартфон.
Среди уязвимых моделей — целый ряд устройств, которые когда-то были очень популярны на потребительском рынке. В первую очередь это TP-Link TL-WR940N (версии V2 и V4), который до сих пор продаётся на Amazon и имеет более 9 тысяч положительных отзывов. Однако именно указанные версии давно признаны устаревшими — последние прошивки для них вышли ещё в 2016 году.
Второй маршрутизатор — TP-Link TL-WR841N, уязвимы версии V8 и V10. Последнее обновление безопасности для них было выпущено в 2015 году, а сам маршрутизатор впервые появился в продаже в декабре 2005-го. Несмотря на это, устройство до сих пор занимает 165-е место в списке «Компьютерных маршрутизаторов» Amazon и собрало свыше 77 тысяч отзывов. Версии до V11 официально сняты с поддержки.
Третья модель — TP-Link TL-WR740N (версии V1 и V2). Все модификации этого устройства также достигли конца срока службы, а последние обновления были выпущены 15 лет назад. В результате эти маршрутизаторы фактически остались без защиты от современных атак.
По словам CISA, наличие готовых эксплойтов и широкая распространённость моделей делают угрозу особенно серьёзной. Агентство настоятельно рекомендует полностью прекратить использование уязвимых устройств и заменить их на современные модели, которые получают актуальные обновления. Федеральные учреждения США обязаны удалить указанные маршрутизаторы из своей инфраструктуры до 7 июля 2025 года, но рекомендации касаются всех — и организаций, и частных пользователей.
