2025年6月16日、米国土安全保障省サイバーセキュリティ機関CISAは、TP-Link製の複数の廃止済みルーター機種に深刻なコマンド注入脆弱性(CVE-2023-33538)が存在し、実際に攻撃で悪用される可能性があるとして、KEVへ登録しました。Known Exploited Vulnerabilities(KEV)リストに登録されると、米国の連邦組織に対して2025年7月7日までに対策完了が義務付けられます。
対象機種
- TL‑WR940N V2/V4
- TL‑WR841N V8/V10
- TL‑WR740N V1/V2
これらはすでにサポート終了(EoS)または製品寿命を迎えたモデルで、脆弱性修正のアップデート提供も終了しています。
脆弱性の内容
問題は、ルーターのWeb管理画面コンポーネント/userRpm/WlanNetworkRpmにおける入力検証の不備です。
悪意ある要求を送信すると、システムコマンドが実行され、攻撃者が管理権限で任意の操作を行えます。
CVE-2023-33538はCVSS 8.8に相当する高い危険度が付与されており、ネットワーク内の他機器やデータへの横展開リスクも否定できません。
推奨される対策
- 直ちに該当ルーターの使用を中止し、新モデルに買い替える
- 廃止機種をどうしても継続使用する場合は、管理画面への外部アクセスを遮断
- ポートフォワーディングやUPnPを無効化し、必要最小限の通信に制限
- ネットワーク監視とログ分析で怪しい通信を早期検知
関連記事
BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威
コスモ石油「コミっと車検」でクラウドの設定ミスで最大約17万件の個人情報流出の可能性
Ivantiの複数製品で危険度の高い脆弱性が発生(CVE-2023-46805、CVE-2024-21887)
Palo Alto NetworksのPAN-OSの脆弱性(CVE-2025-0110)のPoCが公開
横河電機の産業用レコーダーに期設定で認証機能が無効化されている脆弱性(CVE-2025-1863)
三菱電機「MELSEC iQ-F」シリーズに深刻な脆弱性、情報漏えいやDoS攻撃の恐れ(CVE-2025-3755)
Linuxのnftablesの脆弱性「CVE-2024-26809」を悪用したサイバー攻撃のPoCが公開
SSL.comの脆弱性により、不正なSSL証明書が発行される
TI WooCommerce Wishlistプラグインに認証不要のファイルアップロード脆弱性、修正未提供のまま公開中
