tu mismo estás aclarando la respuesta a tu duda si es vulnerable... es decir, depende de la ccontraseña puesta... si colocaste 1234 es vulnerable, si colocaste "4rn0ldSchu4r7sn3gger!*" no lo será, correr una herramienta para esto es como ver agua y meter la mano a ver si moja XD

sin embargo, creo que lo que buscas es hydra, aunque es mejor programase algo...

google y youtube... si no consigues nada, avisa

hydra sirve para estos casos el problema viene en que para usar cualquiera de estos ataques se necesita un conocimiento en los protocolos atacados estás intentando hacer un ataque por inyección de un post en protocolo http, pero necesitas por lo menos saber como la pagina del router estructura su post... es como decir que estás intentando abrir una caja fuerte, pero no conoces como funcionan las herramientas o como funciona el mecanismo de una caja fuerte... lo primero es aprender como es una caja fuerte por dentro (estudiar html y el protocolo http), y luego que hacen las herramientas y como se usan (parametros de hydra)

por otro lado estos ataques de probar contraseña como ya dije son tan efectivos como la complejidad de la contraseña... a un router, una contraseña como "Casa12" puede ser sufciente para que el ataque dure meses, en hecho el tiempo se traduce a una simplemente de formula...

largo del juego de caracteres elevado al largo de la contraseña, todo eso dividido entre las posibilidades por segundo

en el caso de "Casa12", suponiendo 1000 contraseñas por segundos (en la vida real probablemente sea mucho menos), el tiempo maximo es de 64^6/1000 = 68.719.476 segundos, lo que se traduce en 795 dias

si tienes un diccionario a probar la efectividad del ataque es aún más facil de comprobar, abres el diccionario con un editor de texto y ves si la contraseña está o no... si no está el ataque no va a ser efectivo, si está va a ser efectivo en un tiempo calculable