TP-Link證實旗下多款路由器存在一個尚未修補的零時差漏洞,與此同時,美國網路安全暨基礎設施安全局(CISA)警告,該廠商的其他路由器漏洞已遭到攻擊者在實際攻擊中利用。
新發現的零時差漏洞
這個零時差漏洞由獨立威脅研究員Mehrun(ByteRay)發現,他於2024年5月11日首次向TP-Link回報此問題。該漏洞是TP-Link路由器CWMP(CPE WAN Management Protocol)的堆疊緩衝區溢位問題,目前尚未分配CVE編號。
TP-Link向媒體證實正在調查此漏洞的可利用性和影響範圍。該公司表示已為歐洲型號開發修補程式,目前正在為美國和其他全球版本的韌體開發修復方案,但未提供具體的時程估計。TP-Link技術團隊也在詳細審查研究發現,以確認設備暴露條件和部署環境,包括CWMP是否預設啟用。
研究員Mehrun透過路由器二進位檔案的自動化污點分析發現此漏洞,問題出現在處理SOAP(Simple Object Access Protocol) SetParameterValues訊息的函數中。由於strncpy呼叫缺乏邊界檢查,當堆疊緩衝區大小超過3072位元組時,可能透過緩衝區溢位實現遠端程式碼執行。
攻擊手法與影響範圍
實際的攻擊情境是將易受攻擊的設備重新導向到惡意CWMP伺服器,然後傳送超大SOAP載荷來觸發緩衝區溢位。攻擊者可以透過利用過時韌體的漏洞或使用用戶未更改的預設憑證來存取設備,進而實現此攻擊。
一旦透過遠端程式碼執行成功滲透路由器,攻擊者可以指示路由器將DNS查詢重新導向到惡意伺服器,攔截或操控未加密流量,並在網路會話中注入惡意載荷。
經研究員測試驗證,TP-Link Archer AX10和Archer AX1500路由器都採用了易受攻擊的CWMP二進位檔案。這兩款都是目前在多個市場銷售的熱門路由器型號。研究員也指出EX141、Archer VR400、TD-W9970以及其他TP-Link路由器型號也可能受到影響。
美國CISA警告已遭利用的漏洞
CISA近日將另外兩個TP-Link漏洞CVE-2023-50224和CVE-2025-9377新增至已知遭利用漏洞目錄,這些漏洞被
Quad7殭屍網路利用來入侵路由器。CVE-2023-50224是身分驗證繞過漏洞,CVE-2025-9377是命令注入漏洞。當這兩個漏洞組合使用時,威脅行為者可以在易受攻擊的TP-Link設備上獲得遠端程式碼執行權限。
自2023年以來,Quad7殭屍網路一直在利用這些漏洞在路由器上安裝客製化惡意軟體,將其轉換為代理伺服器和流量中繼站。中國威脅行為者一直在使用這些被入侵的路由器來代理或中繼惡意攻擊,同時與合法流量混合以規避偵測。
防護建議
在TP-Link確定哪些設備易受攻擊並釋出修復程式之前,用戶應採取以下防護措施:
- 更改預設密碼:變更預設管理員密碼
- 停用不必要服務:如不需要CWMP功能,建議停用
- 更新韌體:套用設備的最新韌體更新
- 網路隔離:如可能,將路由器與關鍵網路進行區隔
TP-Link強烈建議所有用戶透過官方支援管道,在最新韌體推出時立即更新設備。用戶應密切關注廠商的安全更新公告,並及時採取相應的防護措施。
本文轉載自bleepingcomputer。