Una nuova vulnerabilità di sicurezza ad alta gravità ha colpito i router TP-Link, attirando l’attenzione della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, che ha inserito la falla nel catalogo delle vulnerabilità sfruttate attivamente. Si tratta della vulnerabilità identificata come CVE-2023-33538, classificata con un punteggio CVSS di 8.8 ed è di tipo command injection. Questo difetto permette l’esecuzione di comandi arbitrari sul sistema tramite la manipolazione del parametro ssid1 in una richiesta HTTP GET appositamente creata.

Modelli interessati e dettagli tecnici

I modelli interessati includono TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10 e TL-WR740N V1/V2. La vulnerabilità risiede nel componente /userRpm/WlanNetworkRpm. CISA ha inoltre messo in guardia che questi dispositivi potrebbero essere giunti a fine vita o fine supporto e, in assenza di patch, raccomanda di interromperne l’utilizzo.

Stato degli attacchi e precedenti

Attualmente non ci sono informazioni pubbliche dettagliate su come questa vulnerabilità venga sfruttata né sull’ampiezza degli attacchi, ma vi sono prove di exploitation attiva. In passato, ad esempio nel luglio 2024, erano stati osservati attacchi che coinvolgevano dispositivi TP-Link WR740N utilizzati come router web server per facilitare l’accesso ad altri dispositivi industriali, anche se non ci sono prove certe che la vulnerabilità CVE-2023-33538 sia stata sfruttata in quel contesto.

Patch, supporto e raccomandazioni TP-Link

TP-Link ha comunicato di aver fornito patch per questa vulnerabilità fin dal 2018 tramite la propria piattaforma di supporto tecnico, invitando tutti i clienti che utilizzano ancora questi modelli a contattare l’assistenza per ottenere il firmware aggiornato. L’azienda ricorda anche che queste serie di router sono fuori produzione dal 2017, ma le correzioni sono comunque disponibili per chi ne avesse ancora bisogno.

Attività federali e altre minacce recenti

Alla luce degli attacchi attivi, le agenzie federali statunitensi sono obbligate a risolvere il problema entro il 7 luglio 2025. Parallelamente, sono stati segnalati nuovi tentativi di exploit contro dispositivi firewall Zyxel affetti dalla vulnerabilità CVE-2023-28771, anch’essa di tipo command injection e già sfruttata in passato da botnet come Mirai.

Raccomandazioni per gli utenti

Si raccomanda a tutti gli utenti di router TP-Link e Zyxel di aggiornare immediatamente i dispositivi o, se non più supportati, di sostituirli, oltre a monitorare costantemente eventuali attività anomale nella rete.