TP-Link遭爆「零時差漏洞」 多款路由器恐遭遠端控制
[周刊王CTWANT] TP-Link近期捲入資安爭議。獨立研究員近日揭露,旗下多款路由器存在尚未修補的零時差漏洞,駭客可藉此取得遠端程式碼執行(RCE)權限;同時,美國網路安全和基礎設施安全局(CISA)也針對其他TP-Link已遭利用的漏洞發布警告,情勢更顯緊張。
根據《BleepingComputer》報導,資安研究員於2024年5月11日將漏洞通報TP-Link。TP-Link後續回應表示,歐洲版本的修補已完成,但美國與其他市場的韌體仍在開發中,暫時無法提供明確更新時程。公司強調將加快針對不同版本的修復,並呼籲用戶一旦收到新版韌體應立即安裝,以降低風險。
此次漏洞出在TP-Link對CPE WAN管理協定(CWMP)的實作。研究指出,處理SOAP SetParameterValues訊息時,因「strncpy」函式缺乏邊界檢查,當緩衝區超過3072位元組便會溢位,駭客可透過惡意CWMP伺服器發送超大SOAP負載,導致路由器崩潰並被控制。
實測顯示,市售熱門款Archer AX10與Archer AX1500已確認受影響,其他EX141、Archer VR400、TD-W9970等型號也被列為高風險。研究員警告,一旦駭客成功取得RCE,不僅能劫持DNS查詢,還可能竊聽或竄改未加密流量,甚至直接在瀏覽器中植入木馬。
在等待官方釋出修補軟體期間,TP-Link建議用戶立即更改預設管理密碼、不使用時停用CWMP,並盡量將路由器與關鍵網路隔離。
目前TP-Link尚未公布完整受影響清單。專家提醒,用戶若仍使用舊版韌體,或未更改預設帳密,將成為駭客鎖定的首要目標。
延伸閱讀
- 記者:周刊王CTWANT
- 更多科技新聞 »
