Агентство кибербезопасности США (CISA) внесло в свой каталог активно эксплуатируемых уязвимостей (KEV) опасную уязвимость CVE-2023-33538 (CVSS: 8.8) в беспроводных роутерах TP-Link. Ошибка, связанная с инъекцией команд через параметр ssid1 в HTTP-запросах, позволяет злоумышленникам выполнять произвольные команды на уязвимых устройствах. В группу риска входят модели TL-WR940N (V2/V4), TL-WR841N (V8/V10) и TL-WR740N (V1/V2). CISA предупредила, что некоторые из этих устройств могут больше не поддерживаться производителем, и рекомендовала пользователям сменить их, если обновления недоступны.

Хотя точных данных об эксплуатации уязвимости в реальных атаках пока нет, в декабре 2024 года Palo Alto Networks Unit 42 обнаружила связь между вредоносным ПО FrostyGoop (также известным как BUSTLEBERM) и роутером TP-Link WR740N, использовавшимся для доступа к промышленному оборудованию ENCO. Однако прямых доказательств эксплуатации CVE-2023-33538 в этих атаках не найдено. Федеральные агентства США обязаны устранить уязвимость до 7 июля 2025 года.

Параллельно компания GreyNoise зафиксировала всплеск попыток эксплуатации критической уязвимости CVE-2023-28771 (CVSS: 9.8) в межсетевых экранах Zyxel. Эта уязвимость, связанная с инъекцией команд ОС, была исправлена в апреле 2023 года, но продолжает использоваться злоумышленниками. В частности, 16 июня 2025 года было зарегистрировано 244 уникальных IP-адреса, атакующих устройства в США, Великобритании, Испании, Германии и Индии.

По данным GreyNoise, активность соответствует методам, используемым ботнетом Mirai, ранее применявшим эту уязвимость для создания DDoS-сетей. Для защиты специалисты рекомендуют обновить прошивки Zyxel, отслеживать аномальную активность и ограничивать доступ к уязвимым устройствам.