TP-Link报废路由器漏洞CVE-2023-33538遭Mirai僵尸网络批量扫描利用

🔓 High 漏洞利用

Palo Alto Unit42监测到攻击者针对TP-Link多款已停产路由器（TL-WR940N、TL-WR740N、TL-WR841N）的CVE-2023-33538命令注入漏洞发起大规模自动化扫描和利用。攻击载荷为Mirai变种僵尸网络木马，试图通过默认凭据（admin:admin）认证后下载并执行恶意ELF文件，但实际利用代码存在缺陷，漏洞本身真实有效。

来源：Palo Alto Unit42 | 2026-04-16 | 原文链接

🔍 关键发现

• CVE-2023-33538是TP-Link多款EoL路由器中的命令注入漏洞，影响TL-WR940N v2/v4、TL-WR740N v1/v2、TL-WR841N v8/v10型号
• 攻击者利用默认凭据（admin:admin）通过Basic认证，向/userRpm/WlanNetworkRpm.htm端点发送特制GET请求，在ssid参数中注入命令，下载并执行Mirai变种木马
• 实际观察到的利用代码存在缺陷（命令执行失败），但漏洞本身真实；成功利用需要先通过Web界面认证，而默认凭据的广泛使用使漏洞成为有效感染途径
• 下载的arm7二进制文件是Condi僵尸网络变种，硬编码C2服务器IP 51.38.137[.]113及域名cnc.vietdediserver[.]shop，支持多架构二进制更新和HTTP服务器功能

⚔️ 攻击链分析

1. 攻击者使用默认凭据（admin:admin）向路由器Web接口发送HTTP GET请求，在ssid参数中注入命令；2. 命令通过wget从远程IP下载Mirai变种ELF二进制（arm7）到/tmp目录；3. 执行chmod 777赋予执行权限；4. 运行二进制并连接C2服务器，接收控制指令，同时作为HTTP服务器传播恶意软件

🚩 失陷指标 (IOC)

• 51.38.137[.]113
• cnc.vietdediserver[.]shop
• arm7 (Mirai变种二进制名)
• top1hbt.arm, top1hbt.arm6, top1hbt.mips (更新二进制名)

🛡️ 缓解建议

• ✅ 立即更换所有受影响的TP-Link EoL路由器（TL-WR940N、TL-WR740N、TL-WR841N）为受支持的硬件设备
• ✅ 切勿使用默认凭据，为所有路由器Web管理界面设置强密码，并禁用远程管理功能
• ✅ 部署具备高级威胁防御能力的下一代防火墙，启用URL过滤、DNS安全及WildFire恶意软件分析服务

涉及漏洞：["CVE-2023-33538"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。