据科技媒体BleepingComputer于9月4日发布的最新报告显示,知名网络设备制造商TP-Link已确认其多款路由器产品存在一项尚未修复的零日安全漏洞。该漏洞属于堆栈缓冲区溢出类型,主要影响设备的CWMP(CPE广域网管理协议)功能模块,可被用于实施远程代码执行(RCE)攻击。
此次漏洞由独立安全研究员Mehrun(昵称ByteRay)借助自动化污点分析技术发现,并于2024年5月11日正式向厂商披露。研究指出,问题根源在于CWMP协议实现过程中缺乏必要的输入边界校验机制。攻击者可通过构造异常超长的SOAP请求消息,突破系统防护边界,最终触发远程代码执行。
具体攻击路径显示,不法分子既可利用旧版固件存在的既有漏洞,也可通过破解设备的默认登录凭证获取控制权。成功入侵后,攻击者可将受害设备重定向至恶意搭建的CWMP服务器,随后发送特制超长SOAP载荷引发缓冲区溢出。一旦获得路由器控制权,攻击者能够实施多种高危操作,包括但不限于篡改DNS解析结果、拦截未加密的网络流量,甚至向网页会话中注入恶意代码。
目前已知受该漏洞影响的设备型号涵盖Archer AX10、AX1500、EX141、Archer VR400及TD-W9970等系列,其中部分型号仍在全球市场持续销售。值得注意的是,鉴于CWMP协议在不同产品线中的广泛采用,实际受影响的设备范围可能更为广泛,但截至目前官方尚未为此漏洞分配CVE编号。
针对这一严重安全隐患,TP-Link方面回应称正积极评估漏洞的实际威胁程度及暴露条件,重点核查CWMP功能的默认启用状态。虽然欧洲版本设备的修补方案已完成开发,但面向美国及其他国际市场的版本适配工作仍在进行中,具体修复时间表尚未公布。
网络安全专家提醒,由于该漏洞可直接导致设备完全沦陷,建议相关用户密切关注厂商公告,及时更新固件版本,并采取强化密码策略、关闭不必要的远程管理端口等防护措施降低风险。
