A Agência de Cibersegurança e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma falha grave em roteadores TP-Link, classificada como CVE-2023-33538, com pontuação CVSS de 8,8. A vulnerabilidade, já em exploração ativa, permite a execução de comandos arbitrários no sistema por meio de um ataque de injeção de comandos ao manipular o parâmetro ssid1 em requisições HTTP GET maliciosas. Os modelos afetados incluem os roteadores TP-Link TL-WR940N (V2/V4), TL-WR841N (V8/V10) e TL-WR740N (V1/V2), via o componente “/userRpm/WlanNetworkRpm”.
A CISA destaca ainda que alguns desses dispositivos podem já estar fora de suporte (EoL/EoS), o que reforça a recomendação para que os usuários interrompam o uso, caso não haja atualizações ou correções disponíveis. Embora não existam detalhes públicos sobre os métodos exatos de exploração, o histórico recente de incidentes com roteadores TP-Link levanta preocupações. Em 2024, pesquisadores da Palo Alto Networks identificaram o uso de um TP-Link WR740N em um ataque com o malware FrostyGoop, mas sem evidências concretas de que a falha CVE-2023-33538 tenha sido explorada naquela ocasião.
Além disso, outra vulnerabilidade crítica, CVE-2023-28771, afeta firewalls Zyxel e também está sendo ativamente explorada. Com CVSS 9,8, essa falha permite que atacantes executem comandos sem autenticação. Desde junho de 2025, o tráfego malicioso de mais de 240 IPs foi registrado em ataques direcionados a essa brecha, com indícios de envolvimento de variantes da botnet Mirai. A CISA determinou que agências federais devem corrigir a falha do TP-Link até 7 de julho de 2025. Usuários devem atualizar seus dispositivos e monitorar atividades suspeitas.
