Các router Wi-Fi TP-Link đã ngừng hỗ trợ đang bị nhắm mục tiêu tích cực bởi các tác nhân đe dọa. Mục tiêu của các cuộc tấn công này là cài đặt phần mềm độc hại botnet dựa trên Mirai vào các thiết bị dễ bị tổn thương. Đây là một lỗ hổng bảo mật nghiêm trọng do thiếu cơ chế kiểm tra đầu vào trên giao diện quản lý web.
Lỗ hổng CVE-2023-33538: Khai thác trên Thiết bị Hết hạn Hỗ trợ
Lỗ hổng này, được định danh là CVE-2023-33538, ảnh hưởng đến nhiều mẫu TP-Link không còn nhận được các bản cập nhật từ nhà cung cấp. Tình trạng này khiến người dùng không có bản vá chính thức để áp dụng, tạo ra rủi ro kéo dài. Lỗ hổng đã được CISA thêm vào danh mục Known Exploited Vulnerabilities (KEV) của họ vào tháng 6 năm 2025, nhấn mạnh mức độ nghiêm trọng của nó khi đã bị khai thác trong thực tế. Chi tiết về CVE-2023-33538 có thể được tìm thấy trên NIST National Vulnerability Database.
Các Mẫu TP-Link Router bị ảnh hưởng
Các thiết bị TP-Link router bị ảnh hưởng bao gồm:
- TL-WR940N (phiên bản 2 và 4)
- TL-WR740N (phiên bản 1 và 2)
- TL-WR841N (phiên bản 8 và 10)
Những mẫu router này đều có một điểm yếu chung trong giao diện quản lý web của chúng, nơi một tham số cụ thể trong yêu cầu HTTP GET không được kiểm tra đúng cách đối với nội dung độc hại. Điều này mở ra cơ hội cho các cuộc tấn công mạng thông qua command injection.
Cơ chế khai thác CVE-2023-33538 và Command Injection
Việc thiếu kiểm tra đầu vào cho phép kẻ tấn công chèn và thực thi lệnh trên router mà không gây ra bất kỳ cảnh báo nào trên thiết bị. Điều này tạo điều kiện cho việc chiếm quyền điều khiển từ xa.
Kỹ thuật tấn công qua HTTP GET
Các cuộc tấn công hoạt động bằng cách gửi các yêu cầu HTTP GET độc hại đến điểm cuối /userRpm/WlanNetworkRpm. Các yêu cầu này chứa các lệnh được nhúng trong tham số ssid, mà phần mềm firmware của router xử lý mà không lọc đầu vào độc hại.
Sau khi router chấp nhận yêu cầu, các lệnh sẽ hướng dẫn router tải xuống một tệp nhị phân ELF có tên arm7 từ một máy chủ từ xa tại địa chỉ IP 51.38.137[.]113, gán cho nó quyền thực thi đầy đủ, và chạy nó ngay lập tức. Đây là một phương pháp điển hình để cài đặt mã độc Mirai.
Phân tích Mã độc Botnet Mirai (Condi IoT)
Tệp nhị phân arm7 được tải xuống là một biến thể của phần mềm độc hại botnet Condi IoT, một họ mã độc dựa trên Mirai đã từng liên quan đến các chiến dịch trước đây. Một khi chạy trên router bị nhiễm, phần mềm độc hại này sẽ kết nối với máy chủ điều khiển (C2) và đưa thiết bị vào một mạng botnet lớn hơn.
Miền C2 cnc.vietdediserver[.]shop có liên quan trực tiếp đến các hoạt động botnet kiểu Mirai này và đã được xác nhận là độc hại. Sự hiện diện của các chỉ số thỏa hiệp này là rất quan trọng để phát hiện và ngăn chặn các mối đe dọa mạng.
Hoạt động của mã độc sau khi xâm nhập
Sau khi giành quyền truy cập vào thiết bị, tệp nhị phân arm7 thực hiện một tập hợp các nhiệm vụ có cấu trúc để duy trì sự hiện diện và phát triển botnet. Mã độc chờ đợi các lệnh mẫu byte cụ thể từ máy chủ C2 và phản hồi bằng cách gửi tín hiệu giữ kết nối (heartbeat), kích hoạt tự cập nhật, và khởi chạy các chức năng máy chủ HTTP nội bộ.
Một hành vi đáng chú ý là quy trình tự cập nhật. Tệp nhị phân sử dụng hàm update_bins() để kết nối lại với 51.38.137[.]113 trên cổng TCP 80 và kéo các bản sao mới của chính nó được xây dựng cho tám kiến trúc CPU khác nhau, bao gồm arm6, mips, sh4, và x86_64. Địa chỉ IP và cổng được mã hóa cứng trực tiếp bên trong tệp nhị phân, như đã xác nhận trong quá trình phân tích ngược mã (disassembly).
Tệp nhị phân arm7 cũng khởi động một máy chủ HTTP trên thiết bị bị nhiễm bằng cách sử dụng một cổng được chọn ngẫu nhiên trong khoảng từ 1024 đến 65535. Khi hoạt động, máy chủ này sẽ phân phối các bản sao mã độc mới cho các thiết bị khác kết nối với nó, lan truyền nhiễm trùng mà không yêu cầu bất kỳ đầu vào bổ sung nào từ kẻ tấn công. Điều này cho phép mỗi máy chủ mới bị nhiễm tiếp tục tuyển mộ thêm nạn nhân, mở rộng quy mô botnet.
Phát hiện các cuộc tấn công thực tế và Điểm yếu
Các nhà phân tích và nhà nghiên cứu tại Unit 42 (Palo Alto Networks) đã xác định hoạt động độc hại này sau khi CISA thêm CVE-2023-33538 vào danh mục KEV của họ. Các hệ thống đo từ xa của họ đã phát hiện các nỗ lực khai thác tự động quy mô lớn trong cùng thời gian, với nhiều thăm dò nhắm mục tiêu vào cùng một điểm cuối dễ bị tổn thương trên nhiều thiết bị.
Mặc dù quy mô lớn, các nỗ lực khai thác trong thực tế được các nhà nghiên cứu quan sát thấy vẫn chứa các lỗi kỹ thuật. Cụ thể, kẻ tấn công đã nhắm mục tiêu vào tham số ssid thay vì tham số ssid1 đúng và dễ bị tổn thương, và các lệnh được chèn của họ phụ thuộc vào wget, một tiện ích không có trong môi trường BusyBox hạn chế của router.
Mặc dù vậy, nhóm nghiên cứu đã xác nhận rằng lỗ hổng bảo mật cơ bản là có thật và một kẻ tấn công chính xác hơn sử dụng tham số đúng có thể khai thác thành công CVE-2023-33538. Điều này cho thấy nguy cơ tiềm ẩn vẫn rất cao.
Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)
Các tổ chức nên theo dõi các chỉ số thỏa hiệp sau để phát hiện và ngăn chặn các cuộc xâm nhập mạng liên quan đến mã độc Mirai:
- CVE: CVE-2023-33538
- Tệp nhị phân độc hại:
arm7(ELF binary) - Máy chủ tải xuống mã độc:
51.38.137[.]113(TCP port 80) - Máy chủ điều khiển (C2):
cnc.vietdediserver[.]shop - Endpoint bị khai thác:
/userRpm/WlanNetworkRpm - Tham số bị chèn:
ssid(hoặcssid1là tham số đúng)
Khuyến nghị và Biện pháp Phòng ngừa An ninh Mạng
TP-Link đã xác nhận rằng các thiết bị bị ảnh hưởng đã ngừng hỗ trợ và sẽ không có bản vá nào được cung cấp từ nhà sản xuất. Công ty khuyến cáo người dùng nên thay thế các thiết bị này bằng phần cứng hiện đang được hỗ trợ để đảm bảo an ninh mạng.
Biện pháp bảo vệ
Để giảm thiểu rủi ro từ lỗ hổng CVE-2023-33538 và các cuộc tấn công tương tự, các quản trị viên và người dùng nên thực hiện các biện pháp sau:
- Thay thế thiết bị: Ngừng sử dụng và thay thế ngay lập tức các mẫu TP-Link router đã ngừng hỗ trợ (End-of-Life) bằng các thiết bị hiện đang nhận được bản vá và cập nhật bảo mật.
- Thay đổi thông tin đăng nhập mặc định: Yêu cầu khai thác lỗ hổng này cần quyền truy cập được xác thực vào giao diện web của router. Do đó, việc thay đổi thông tin đăng nhập mặc định (ví dụ: admin:admin) là cực kỳ quan trọng.
- Giám sát lưu lượng truy cập: Các quản trị viên nên giám sát lưu lượng truy cập ra bên ngoài mạng của mình để phát hiện các kết nối đến các miền độc hại đã biết hoặc địa chỉ IP của máy chủ C2 (ví dụ:
51.38.137[.]113vàcnc.vietdediserver[.]shop). - Tắt quyền truy cập từ xa: Nếu không cần thiết, hãy tắt quyền truy cập từ xa vào giao diện quản lý của router.
- Phân đoạn mạng: Triển khai phân đoạn mạng để hạn chế sự lây lan của mã độc Mirai nếu một thiết bị bị xâm nhập.
Việc theo dõi chặt chẽ và áp dụng các bản vá bản vá bảo mật kịp thời là những yếu tố then chốt để duy trì một môi trường an toàn thông tin vững chắc. Các thông tin chi tiết về hoạt động khai thác này được phân tích bởi Palo Alto Networks Unit 42 có thể tham khảo tại Exploitation of CVE-2023-33538.
Các quản trị viên nên theo dõi và loại bỏ bất kỳ mẫu TP-Link router bị ảnh hưởng nào vẫn còn hoạt động trên mạng của họ để bảo vệ hệ thống khỏi các mối đe dọa mạng đang diễn ra.
