أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية خطيرة في أجهزة التوجيه اللاسلكية من شركة TP-Link إلى كتالوج الثغرات المعروفة التي يجري استغلالها (KEV)، استنادًا إلى أدلة على وجود استغلال نشط لها في البرية.
تحمل الثغرة المعرف CVE-2023-33538 وحصلت على تقييم خطورة مرتفع قدره 8.8 وفق مقياس CVSS. وهي ثغرة من نوع حقن أوامر (Command Injection) تتيح للمهاجمين تنفيذ أوامر نظام عشوائية من خلال المعلمة ssid1 ضمن طلبات HTTP GET مُعدة خصيصًا.
وأوضحت CISA أن الطرز المتأثرة تشمل:
-
TP-Link TL-WR940N V2/V4
-
TL-WR841N V8/V10
-
TL-WR740N V1/V2
وذلك عبر المكون /userRpm/WlanNetworkRpm.
وأشارت الوكالة إلى أن بعض هذه الأجهزة ربما تكون قد وصلت إلى نهاية دورة حياتها (EoL) أو نهاية خدمة الدعم (EoS)، محذرة المستخدمين من الاستمرار في استخدامها إذا لم تكن هناك حلول متوفرة لمعالجة الثغرة.
حتى الآن، لا تتوفر معلومات علنية حول طبيعة الهجمات أو الجهات المسؤولة عنها، كما لم يُكشف عن نطاق الاستغلال العالمي.
علاقة محتملة ببرمجية FrostyGoop
يُذكر أن شركة Palo Alto Networks Unit 42 كانت قد كشفت في ديسمبر 2024 عن عينات جديدة من برمجية خبيثة تُعرف باسم FrostyGoop (أو BUSTLEBERM)، حيث استُخدم جهاز توجيه TP-Link WR740N لتسهيل الوصول إلى أحد أجهزة التحكم الصناعية (ENCO control device) عبر الويب.
لكن الشركة أكدت عدم وجود دليل قاطع على أن الهجوم الذي وقع في يوليو 2024 استغل ثغرة CVE-2023-33538 بشكل مباشر.
وفي تعليق خاص لـ The Hacker News، أوضحت شركة TP-Link أنها قامت بتوفير تحديثات تصحيحية لهذه الثغرة منذ عام 2018 عبر منصتها للدعم الفني، رغم أن النماذج المتأثرة تم إيقاف إنتاجها منذ عام 2017.
وقالت الشركة:
“نشجع عملاءنا الذين لا يزالون يستخدمون هذه الأجهزة على التواصل مع الدعم الفني للحصول على نسخ البرنامج الثابت المحدثة، أو الترقية إلى أجهزة أحدث لضمان تلقي التحديثات التلقائية والحماية المستمرة.”
وطالبت وكالة CISA جميع الوكالات الفيدرالية المدنية في الولايات المتحدة بإصلاح الثغرة قبل 7 يوليو 2025 كحد أقصى، في ظل وجود استغلال نشط لها.
نشاط جديد يستهدف ثغرة Zyxel CVE-2023-28771
وفي تطور متزامن، أطلقت شركة GreyNoise تحذيرًا من محاولات استغلال نشطة لثغرة خطيرة أخرى في جدران الحماية الخاصة بشركة Zyxel، والمعروفة بالمعرف CVE-2023-28771 والتي حصلت على درجة 9.8 وفق CVSS.
وتُعد هذه الثغرة أيضًا من نوع حقن أوامر النظام (OS Command Injection)، وتتيح للمهاجمين غير المصادقين تنفيذ أوامر على الأجهزة المصابة.
ورغم قيام Zyxel بإصدار تصحيحات للثغرة في أبريل 2023، فإن GreyNoise رصدت ارتفاعًا حادًا في محاولات استغلالها مؤخرًا، وتحديدًا بتاريخ 16 يونيو 2025، حيث شاركت 244 عنوان IP فريد في هذه الأنشطة التي استهدفت الولايات المتحدة، المملكة المتحدة، إسبانيا، ألمانيا، والهند.
وأشارت الشركة إلى أن التحليل التاريخي أظهر أن تلك العناوين لم تُسجل أي نشاط خبيث سابقًا، ما يشير إلى حملات موجهة ومخطط لها بعناية، غالبًا مرتبطة بشبكات البوت نت مثل Mirai.
