Theo đó, lỗ hổng có mã định danh CVE-2023-33538 (điểm CVSS: 8.8), thuộc dạng lỗ hổng chèn lệnh (command injection). Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi các lệnh hệ thống tùy ý bằng cách gửi yêu cầu HTTP GET đặc biệt chứa tham số ssid1 được thiết kế để khai thác.

Theo CISA, nguyên nhân là do thành phần /userRpm/WlanNetworkRpm trên các thiết bị Router TP-Link chứa điểm yếu cho phép khai thác lỗ hổng. Đáng chú ý, một số thiết bị bị ảnh hưởng có thể đã hết vòng đời (EoL) hoặc ngừng được hỗ trợ cập nhật (EoS).

Lỗ hổng ảnh hưởng đến các mẫu Router phổ biến của TP-Link như TL-WR940N V2/V4, TL-WR841N V8/V10 và TL-WR740N V1/V2. Dù chưa có thông tin chi tiết về cách thức khai thác lỗ hổng này trong thực tế, nhưng do tính chất nghiêm trọng của lỗ lổng chèn lệnh, CISA khuyến cáo người dùng nên nhanh chóng ngừng sử dụng hoặc cập nhật thiết bị nếu có bản vá phù hợp để tránh nguy cơ bị tấn công.

Việc cập nhật firmware kịp thời và thay thế thiết bị cũ là giải pháp cần thiết để giảm thiểu rủi ro bị khai thác. Ngoài ra, các tổ chức cần tăng cường giám sát mạng để phát hiện sớm hành vi bất thường, kịp thời phản ứng và ngăn chặn tấn công.

Để phòng tránh nguy cơ từ hai lỗ hổng trên, người dùng và quản trị viên hệ thống cần chú ý cập nhật firmware các thiết bị TP-Link lên phiên bản mới nhất có bản vá bảo mật. Kiểm tra trạng thái hỗ trợ của thiết bị, nếu đã hết vòng đời nên xem xét thay thế. Đồng thời, giám sát hoạt động mạng để phát hiện các hành vi bất thường hoặc có dấu hiệu tấn công. Hạn chế để thiết bị kết nối trực tiếp với mạng Internet không an toàn hoặc mạng công cộng.

Việc chủ động cập nhật và theo dõi bảo mật thiết bị mạng là biện pháp cần thiết để giảm thiểu rủi ro bị xâm nhập và mất kiểm soát hệ thống trong bối cảnh tấn công mạng ngày càng tinh vi và phức tạp.