殭屍網路Condi綁架TP-Link無線路由器，利用已知漏洞進行滲透

資安公司Palo Alto Networks在CISA發布KEV的期間，偵測到大規模的漏洞積極利用嘗試，駭客針對特定端點發出GET請求，試圖透過ssid功能參數執行多組命令，從特定IP位址下載ELF二進位檔案，並授予此檔案讀取、寫入，以及執行的權限，然後使用tplink的參數執行二進位檔。根據上述駭客使用的指令，該公司推測是殭屍網路活動。經過進一步分析，此為Mirai的變種Condi。

此殭屍網路病毒具備自我更新的機制，攻擊者通常會將受害路由器設定為網頁伺服器，並以此提供該病毒的二進位檔案，向其他存在漏洞的路由器進行橫向感染。

CVE-2023-33538是命令注入漏洞，影響TP-Link旗下的數款路由器，包含：TL-WR940N V2/V4、TL-WR841N V8/V10，以及TL-WR740N V1/V2，CVSS風險評為8.8，屬高風險等級，攻擊者可透過元件/userRpm/WlanNetworkRpm觸發。值得留意的是，上述的路由器生命週期已經結束（EOL），這代表若是使用者未汰換設備，恐將成為攻擊者能持續利用的滲透管道。