文章总结： CVE-2023-33538是TP-Link多款旧款路由器中存在的严重命令注入漏洞（CVSS8.8），尽管自披露以来已遭受持续一年的攻击尝试，但PaloAltoNetworks分析表明这些利用均未成功。攻击失败主要归因于利用代码存在缺陷（如缺少身份验证、错误定位参数、依赖固件中不存在的工具），且路由器受限的BusyBox环境进一步限制了攻击影响。CISA已将该漏洞列入已知可利用漏洞目录，建议用户及时更新固件并避免使用默认凭证。 综合评分： 95 文章分类： 漏洞分析,威胁情报,网络安全

CVE-2023-33538 已遭受持续一年的攻击，但漏洞利用仍未成功

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月21日 08:49 湖北

在小说阅读器读本章

去阅读

黑客已持续一年多试图利用TP-Link旧款路由器中的一个严重漏洞（编号CVE-2023-33538，CVSS评分8.8），但至今仍未成功。

该漏洞存在于组件 /userRpm/WlanNetworkRpm 中，属于命令注入漏洞，影响多款TP-Link路由器型号（包括 TL-WR940N v2 和 v4、TL-WR740N v1 和 v2、TL-WR841N v8 和 v10）。

CISA已于2025年6月将该漏洞纳入其“已知可利用漏洞目录”（KEV），并要求联邦机构在2025年7月7日前完成修复。

CVE-2023-33538于2023年6月披露，问题出在 /userRpm/WlanNetworkRpm 端点，其中 ssid1 参数未进行充分的输入清理。攻击者可通过构造恶意的HTTP请求，注入命令，进而在设备上执行任意代码。相关概念验证（PoC）利用代码曾短暂在网络上公开，目前仍可通过网页存档获取。

Palo Alto Networks 发布的安全公告指出：“我们的遥测系统检测到，在2025年6月该漏洞被加入KEV目录前后，出现了针对CVE-2023-33538的大规模活跃利用尝试。我们观察到多次利用尝试。”

研究人员观察到，攻击者向 /userRpm/WlanNetworkRpm.htm 端点发送 HTTP GET 请求，试图滥用 ssid 参数执行多条命令。他们首先从远程服务器将一个名为 arm7 的恶意 ELF 二进制文件下载到 /tmp 目录，然后修改其权限使其可执行，最后通过特定参数运行该文件。

该行为类似于僵尸网络的活动模式，常与 Mirai 类恶意软件相关。这些请求还使用了默认凭证 admin:admin 进行基础认证，并以 Base64 编码传输。

报告指出：“我们遥测系统中发现的 arm7 二进制文件疑似为 Mirai 的变种。它与 Condi IoT 僵尸网络中使用的样本相似，在文件代码中多次出现字符串 condi。”

该 arm7 僵尸网络二进制文件会连接其命令与控制（C2）服务器，并通过网络套接字监听命令。它将接收到的数据存储在缓冲区中，并检查其中作为指令的特定字节模式。

每种模式触发不同的操作。该恶意软件可以回复状态消息、启动或停止操作、激活锁定模式，或启动一个内嵌的 HTTP 服务器。根据接收到的指令，它还能下载更新版本的恶意软件。

当触发更新时，二进制文件会调用一个内部更新函数，删除旧文件，连接硬编码的 C2 服务器（51.38.137[.]113），并为多种 CPU 架构下载新的二进制文件。该恶意软件会在多个变种之间循环切换，以保持对不同设备的兼容性。

该 C2 基础设施关联到一个已知的恶意主机，该主机也与 Mirai 类僵尸网络活动有关。

如果收到指令，恶意软件会将受感染设备变成一个 Web 服务器。它会随机选择一个端口，启动 HTTP 服务，并监听连接。在此模式下，它可以将恶意软件二进制文件分发到其他受感染设备，从而帮助僵尸网络扩散。

总体而言，arm7 既是一个由命令驱动的僵尸程序，也是一个分发节点，能够不断自我更新，并协助恶意软件在新系统间传播。

Palo Alto Networks 发布了一份针对 TP-Link 路由器上 CVE-2023-33538 漏洞利用的详细分析报告，以更好地理解利用失败的原因。

该漏洞位于路由器的 Web 界面中，具体是在处理来自 /userRpm/WlanNetworkRpm.htm 端点的 ssid1 参数时存在问题。当系统处理该输入时，未进行适当的清理或验证。这一错误使得攻击者能够注入系统命令，这些命令随后被传递给 shell 并执行。

其执行流程虽然较长，但原理简单。路由器接收 HTTP 请求，提取 SSID 值，将其存储在配置结构中，并与之前的设置进行比较。当检测到变化时，它会构建类似 iwconfig 的系统命令，并将 SSID 值直接插入其中。随后系统通过 shell 运行该命令，从而为代码执行打开了大门。

专家通过模拟固件并登录路由器管理面板复现了该问题。他们还发现，设备需要身份验证，因此攻击者没有有效凭证就无法利用漏洞。在许多情况下，系统使用默认或弱登录配置，这增加了风险。

Palo Alto Networks 还发现了环境中的重要限制。路由器运行的是受限的 BusyBox shell，可用工具极少，因此攻击者难以轻松下载或运行高级工具。这在实际环境中限制了漏洞利用的影响。

总之，该漏洞确实存在，并允许通过 ssid1 进行命令注入，但成功攻击取决于身份验证以及极其受限的系统环境。

报告总结道：“无论是公开的 CVE-2023-33538 概念验证代码，还是我们在遥测系统中观察到的攻击尝试，都无法成功攻陷我们所分析的 TP-Link 路由器环境。然而，我们对固件及其模拟的深入分析表明，理论漏洞与其实际现实应用之间存在显著差距。”

“在真实环境中观察到的攻击在多个层面存在缺陷：

• 它们未携带身份验证
• 它们针对的参数错误（ssid 而非 ssid1）
• 它们依赖 wget 工具，而该工具并不存在于固件有限的 BusyBox 环境中

这表明，一种常见的攻击模式是使用不完整或不准确的漏洞利用代码进行扫描和探测，最终导致攻击虽频繁但却无效。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《CVE-2023-33538 已遭受持续一年的攻击，但漏洞利用仍未成功》