Ataques a routers antigos falham exploração

Cibercriminosos têm tentado explorar, há cerca de um ano, uma vulnerabilidade em routers descontinuados da TP-Link, sem sucesso na execução de código malicioso, segundo a Palo Alto Networks.

A falha, identificada como CVE-2023-33538 e com uma classificação de gravidade elevada (CVSS 8.8), consiste numa vulnerabilidade de injeção de comandos que resulta da ausência de validação de um parâmetro específico em pedidos HTTP. Em teoria, poderia permitir a execução remota de comandos no sistema dos equipamentos.

Os dispositivos afetados incluem vários modelos antigos da marca, entretanto descontinuados, o que já levou entidades como a CISA a recomendarem a sua substituição imediata.

Apesar de existirem provas de conceito disponíveis publicamente há vários anos, a investigação indica que as tentativas de exploração observadas no terreno não foram bem-sucedidas. Os ataques têm recorrido a cargas maliciosas baseadas no botnet Mirai, com o objetivo de transformar os routers comprometidos em servidores capazes de distribuir malware a outros dispositivos.

No entanto, erros no código de exploração têm impedido o sucesso das operações. Entre os problemas identificados estão a tentativa de exploração sem autenticação, a utilização de parâmetros incorretos e a dependência de ferramentas inexistentes no ambiente dos dispositivos visados.

Este padrão reflete uma abordagem comum em campanhas automatizadas, em que os atacantes recorrem a código incompleto ou mal adaptado, o que acaba por gerar muita atividade, mas com pouca eficácia.

Ainda assim, a vulnerabilidade mantém-se relevante, uma vez que uma exploração bem-sucedida poderia permitir ataques de negação de serviço ou o acesso persistente aos equipamentos comprometidos, reforçando a necessidade de substituir dispositivos fora de suporte.