2026-04-22 05:05:06 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 攻击者持续一年利用TP-Link路由器高危漏洞CVE-2023-33538发起攻击但未成功。该命令注入漏洞影响多款老旧型号，攻击者通过构造恶意HTTP请求尝试下载执行Mirai类恶意软件。失败原因为未通过认证、错误参数定位及固件缺乏必要工具，反映出现实攻击与理论漏洞间的差距。 综合评分： 84 文章分类： 漏洞分析,威胁情报,恶意软件,IoT安全,网络安全

cover_image

攻击者持续一年攻击TP-Link路由器漏洞CVE-2023-33538仍未得逞

FreeBuf

2026年4月21日 18:31 上海

在小说阅读器读本章

去阅读

#

Part01

黑客针对旧款TP-Link路由器漏洞

发起长达一年的攻击

黑客持续一年多尝试利用TP-Link老旧路由器中的高危漏洞（CVE-2023-33538，CVSS评分8.8），但至今未发现成功案例。该命令注入漏洞存在于/userRpm/WlanNetworkRpm组件中，影响多款路由器型号（包括TL-WR940N v2/v4、TL-WR740N v1/v2及TL-WR841N v8/v10）。

美国网络安全和基础设施安全局（CISA）于2025年6月将该漏洞列入”已知被利用漏洞目录”，要求联邦机构在2025年7月7日前完成修复。该漏洞于2023年6月披露，问题出在/userRpm/WlanNetworkRpm端点的ssid1参数未进行充分净化处理，攻击者可通过构造特殊HTTP请求注入命令，最终实现设备上的任意代码执行。相关PoC曾短暂出现在网络，现仍可通过网页存档获取。

Part02

攻击活动技术分析

Palo Alto Networks发布的报告指出：”我们的遥测系统在2025年6月该漏洞被列入KEV目录时，检测到大规模活跃攻击尝试。”研究人员观察到攻击者向/userRpm/WlanNetworkRpm.htm端点发送HTTP GET请求，试图滥用ssid参数执行多步操作：首先从远程服务器下载名为arm7的恶意ELF文件至/tmp目录，随后修改文件权限使其可执行，最终携带特定参数运行。

这些请求使用Base64编码的默认凭证admin:admin进行基本认证，攻击模式符合Mirai类恶意软件特征。报告指出：”arm7二进制文件与Condi IoT僵尸网络所用样本相似，文件代码中多次出现condi字符串。”该恶意程序会连接C2服务器，通过检测网络套接字中的特定字节模式执行不同操作，包括状态反馈、启停控制、锁定模式切换及内嵌HTTP服务器激活等。

Part03

恶意软件更新与传播机制

当触发更新时，程序会调用内置函数删除旧文件，连接硬编码C2服务器（51.38.137[.]113）下载适配多种CPU架构的新版本。其C2基础设施与已知Mirai类僵尸网络活动存在关联。在特定指令下，受感染设备会转变为Web服务器，随机选择端口开启HTTP服务，用于向其他受感染设备分发恶意程序，实现僵尸网络扩散。

Part04

漏洞利用失败原因分析

Palo Alto Networks对TP-Link路由器漏洞利用失败原因进行了技术还原。漏洞根源于Web界面处理/userRpm/WlanNetworkRpm.htm端点ssid1参数时的净化缺失，攻击者可构造包含系统命令的SSID值，最终通过shell执行。完整利用链包括：HTTP请求解析→SSID值提取→配置结构存储→变更检测→构建含恶意SSID的iwconfig命令→shell执行。

研究人员通过固件模拟复现漏洞时发现：设备要求认证凭据，多数情况下使用默认或弱密码；路由器运行精简版BusyBox shell，缺乏wget等关键工具，极大限制了攻击实效。报告结论指出：”无论是公开PoC还是实际观测到的攻击尝试，均未能成功入侵我们分析的TP-Link路由器环境。固件分析表明理论漏洞与实际利用存在显著差距。”

Part05

现实攻击存在的三大缺陷

未通过身份验证
错误定位参数（使用ssid而非ssid1）
依赖固件环境中不存在的wget工具

这反映出攻击者常使用不完整或不准确的漏洞代码进行扫描探测，导致攻击行为虽具规模但最终无效。

参考来源：

CVE-2023-33538 under attack for a year, but exploitation still unsuccessful

CVE-2023-33538 under attack for a year, but exploitation still unsuccessful

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《攻击者持续一年攻击TP-Link路由器漏洞CVE-2023-33538仍未得逞》