Pesquisadores identificaram tentativas automatizadas de exploração da CVE-2023-33538, uma vulnerabilidade em roteadores TP-Link fora de suporte. Os ataques detectados utilizam cargas compatíveis com botnets da família Mirai, infraestrutura maliciosa que sequestra dispositivos IoT para formar redes de ataque distribuído.
Modelos afetados e mecanismo de exploração
A falha impacta os modelos TL-WR940N (versões 2 e 4), TL-WR740N (versões 1 e 2) e TL-WR841N (versões 8 e 10). A vulnerabilidade consiste em uma falha de injeção de comandos em um parâmetro processado pela interface web de administração do equipamento.
A análise técnica revelou que os ataques direcionam o endpoint de configuração sem fio com comandos encadeados. A sequência típica envolve três etapas: download do malware, alteração de permissões do arquivo baixado e execução do código malicioso. Esse padrão é característico de campanhas de recrutamento para botnets.
Requisitos para exploração e mitigação
Um fator limitante importante é que a exploração bem-sucedida exige autenticação prévia na interface web do roteador. Isso significa que o atacante precisa ter acesso válido ao painel administrativo, seja por credenciais fracas, padrão de fábrica ou previamente comprometidas.
Como os dispositivos afetados já atingiram o fim de vida útil (EOL – End of Life), a TP-Link não fornecerá correções. As medidas de mitigação incluem substituir o hardware por modelos com suporte ativo, remover o acesso direto à interface de gerenciamento pela internet e revisar imediatamente o uso de senhas padrão.
A persistência de dispositivos IoT legados expostos representa um risco crescente, especialmente quando combinada com práticas inadequadas de segurança como manutenção de credenciais de fábrica. O incidente reforça a necessidade de políticas de substituição de equipamentos sem suporte e configurações seguras por padrão.