Twój stary router TP-Link na celowniku Mirai – czas na zmiany?

Masz w domu router „za stówkę”, który działa „od zawsze”? Sprawdź, czy to nie ten moment, kiedy „od zawsze” właśnie się kończy.

Badacze z Unit 42 (Palo Alto Networks) biją na alarm: aktywna kampania botnetu Mirai żeruje na luce CVE-2023-33538 w starych routerach TP-Link. Na celowniku są modele TL-WR940N (V2, V4), TL-WR740N (V1, V2) i TL-WR841N (V8, V10) – urządzenia bez wsparcia producenta, więc bez szans na łatkę. Skuteczny atak oznacza przejęcie routera i wcielenie go do botnetu.

Dlaczego to ważne? Bo router to brama do całej sieci domowej. A kiedy brama staje się cudzą furtką, Twój internet może posłużyć do DDoS-ów, rozsyłania malware i kolejnych infekcji. Co gorsza, wektor ataku jest trywialny, a „zabezpieczeniem” często pozostaje fabryczne admin:admin. [1]

Jak to się dzieje, że Mirai znów ma żniwa

Atakujący wysyłają żądania HTTP GET na endpoint /userRpm/WlanNetworkRpm (w niektórych opisach: WlanNetworkRpm.htm), gdzie urządzenie przetwarza parametry konfiguracji Wi-Fi. Błąd to klasyczny command injection – brak właściwej walidacji wejścia w polu ssid1 pozwala wstrzyknąć komendę, którą router wykona z uprawnieniami roota. W wielu próbach widać nagłówek Authorization z Base64 „YWRtaW46YWRtaW4=” – tłumacząc z „tajemniczego kodu”, to po prostu admin:admin. Jeśli te dane nie zostały zmienione, drzwi stają otworem. [1]

Po uzyskaniu dostępu payload nakazuje routerowi pobranie pliku arm7 z 51.38.137.113, nadanie mu praw wykonywania i uruchomienie go z argumentem „tplink”. Analiza próbki ujawnia wariant Condi – rodzinę IoT bazującą na Mirai. Wewnątrz binarki zakodowano na sztywno parametry C2, a infrastruktura wiąże się z domeną cnc.vietdediserver.shop. [1]

Mirai nie tylko infekuje, ale też dba o siebie: arm7 potrafi się aktualizować, dociągając warianty dla wielu architektur (od arm6 po x86_64), i uruchamia na zainfekowanym urządzeniu własny serwer HTTP na losowym porcie, by rozdawać świeże kopie innym ofiarom. Każdy nowy host może więc zarażać następne – łańcuch bez udziału operatora.

„Na szczęście” atakujący bywają niezdarni

Telemetria Unit 42 pokazała wysyp automatycznych prób tuż po tym, jak CISA w czerwcu 2025 dodała CVE-2023-33538 do katalogu znanych, wykorzystywanych podatności (KEV). Duża część ataków… nie działała. Skrypty myliły parametr (uderzały w ssid zamiast ssid1), ignorowały wymóg poprawnej, uwierzytelnionej sesji albo polegały na wget, którego brak w okrojonym BusyBoxie tych modeli. Słowem: sporo huku, mało trafień. [1]

Złym pomysłem byłoby jednak odetchnąć. Błąd jest realny i – przy właściwie złożonym żądaniu oraz działających poświadczeniach – skutecznie eksploatowalny. A to wystarczy, by Twój router ożył po stronie atakujących.

Nie ma łatki. Jest wybór

TP-Link potwierdza: wskazane modele są EoL, aktualizacji nie będzie. Oficjalna rada jest prosta i mało romantyczna – wymienić sprzęt na wspierany. Tak, to koszt. Ale alternatywą jest posiadanie w salonie gratisowego węzła DDoS. Lokalne CERT-y dorzucają to samo: zaprzestać użycia dotkniętych urządzeń, jeśli nie ma wsparcia.

Jeśli wymiana dziś jest nierealna, są kroki „ratunkowe”, które faktycznie podnoszą poprzeczkę:

• Zmień domyślne hasło administratora (admin:admin to zaproszenie, nie zabezpieczenie).
• Wyłącz zdalne zarządzanie z internetu; panel administracyjny zostaw tylko w sieci lokalnej.
• Odizoluj stary router i IoT na osobnym VLAN-ie/podsieci.
• Monitoruj, czy urządzenie nie łączy się z podejrzaną infrastrukturą (np. znane C2, IP z telemetrii badań).

Szerszy obraz: Mirai w formie, sprzęt w odwrocie

Mirai ma się dobrze, bo baza ofiar też ma się… nie najlepiej. Publikacja kodu źródłowego lata temu sprawiła, że co chwilę rodzą się nowe odgałęzienia, dostosowane do świeżych (i nieświeżych) urządzeń IoT. A segment budżetowych routerów bywa konserwatywny: te same pudełka działają latami, często z panelami www wystawionymi na świat, bez aktualizacji i z tym samym hasłem. To przepis na kłopoty, nie tradycję.

W tym przypadku ciekawy jest też „czynnik psychologiczny”: fakt, że tyle prób jest spartaczonych, może uśpić czujność. Tymczasem wystarczy jeden lepszy skrypt kiddie, który nie pomyli parametru i dołoży poprawną autoryzację, by wykonać RCE i wciągnąć urządzenie do botnetu. Reszta dzieje się automatycznie.

Na koniec

Jeśli na obudowie masz TL-WR940N, TL-WR740N lub TL-WR841N, a wersja sprzętowa zgadza się z listą powyżej, liczby i fakty są bezlitosne: to złe miejsce i zły czas na „jakoś to będzie”. Zmień hasło, schowaj panel za NAT-em, najlepiej wymień router. Bo kiedy Twój internet zaczyna pracować dla kogoś innego, to nie jest już „domowa sieć” – to darmowy zasób dla botnetu.

FAQ

Czy mój router TL-WR940N/TL-WR740N/TL-WR841N jest zagrożony przez CVE-2023-33538?

Tak, jeśli masz wersje TL-WR940N V2/V4, TL-WR740N V1/V2 lub TL-WR841N V8/V10, urządzenie jest podatne i bez wsparcia producenta. Zalecana jest wymiana lub przynajmniej natychmiastowe utwardzenie konfiguracji.

Jak sprawdzić wersję sprzętową routera TP-Link?

Wersja (np. V2, V4, V8) jest zwykle na etykiecie od spodu obudowy oraz w panelu administracyjnym. Jeśli jej nie widzisz, sprawdź w zakładce Status/System w interfejsie www.

Czy zmiana domyślnego hasła admin wystarczy, by zablokować atak?

W wielu scenariuszach tak, bo eksploatacja wymaga uwierzytelnienia; zmiana haseł odcina prosty wektor. To jednak nie usuwa samej luki – docelowo wymień urządzenie.

Jak ograniczyć ryzyko, jeśli nie mogę od razu wymienić routera?

Wyłącz zdalne zarządzanie, ustaw silne unikalne hasło, odseparuj router/IoT na osobnej podsieci i monitoruj ruch wychodzący. To półśrodki, ale lepsze niż nic. [1]

Jak rozpoznać, że router mógł zostać zainfekowany Mirai?

Nie ma jednego pewnego symptomu, ale wskazówką mogą być skoki ruchu wychodzącego, niestabilność oraz podejrzane połączenia do znanych C2. Najpewniejszym „lekarstwem” jest reset do fabryki i wymiana na wspierany model.

Źródła

• [1] https://sekurak.pl/masz-stary-router-tp-link-botnet-mirai-aktywnie-wykorzystuje-luke-cve-2023-33538-do-przejecia-kontroli-nad-urzadzeniami/
• [2] https://cybersecuritynews.com/hackers-target-tp-link-routers/
• [3] https://gbhackers.com/tp-link-routers/
• [4] https://cyberpress.org/mirai-hits-tp-link-routers/
• [5] https://hkcert.org/security-bulletin/tp-link-router-remote-code-execution-vulnerability_20250617
• [6] https://cyberinsider.com/tp-link-tells-users-to-replace-popular-routers-due-to-unpatched-flaw/
• [7] https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/
• [8] https://gbhackers.com/cisa-warns-tp-link-vulnerabilities/
• [9] https://cyberpress.org/cisa-warns-tp-link-vulnerabilities/