TP-Link近期捲入資安爭議。獨立研究員近日揭露,旗下多款路由器存在尚未修補的零時差漏洞,駭客可藉此取得遠端程式碼執行(RCE)權限;同時,美國網路安全和基礎設施安全局(CISA)也針對其他TP-Link已遭利用的漏洞發布警告,情勢更顯緊張。
根據《BleepingComputer》報導,資安研究員於2024年5月11日將漏洞通報TP-Link。TP-Link後續回應表示,歐洲版本的修補已完成,但美國與其他市場的韌體仍在開發中,暫時無法提供明確更新時程。公司強調將加快針對不同版本的修復,並呼籲用戶一旦收到新版韌體應立即安裝,以降低風險。
此次漏洞出在TP-Link對CPE WAN管理協定(CWMP)的實作。研究指出,處理SOAP SetParameterValues訊息時,因「strncpy」函式缺乏邊界檢查,當緩衝區超過3072位元組便會溢位,駭客可透過惡意CWMP伺服器發送超大SOAP負載,導致路由器崩潰並被控制。
實測顯示,市售熱門款Archer AX10與Archer AX1500已確認受影響,其他EX141、Archer VR400、TD-W9970等型號也被列為高風險。研究員警告,一旦駭客成功取得RCE,不僅能劫持DNS查詢,還可能竊聽或竄改未加密流量,甚至直接在瀏覽器中植入木馬。
在等待官方釋出修補軟體期間,TP-Link建議用戶立即更改預設管理密碼、不使用時停用CWMP,並盡量將路由器與關鍵網路隔離。
目前TP-Link尚未公布完整受影響清單。專家提醒,用戶若仍使用舊版韌體,或未更改預設帳密,將成為駭客鎖定的首要目標。
ASUS 華碩 RT-AC1200 V2 AC1200 四天線雙頻無線 WIFI 路由器
- 300 Mbps(2.4GHz) 和 867 Mbps (5GHz) 的同步傳輸量造就高速無線效能
- 四支外部天線提升覆蓋範圍和多裝置效能 — 2.4 GHz 與 5 GHz 頻段各兩支天線
- 您可以套用排定的時間限制,以限制各裝置可存取網際網路的時間
- 雙 WAN 功能可以同時連線至兩個 WAN 連線,避免因 ISP 造成的網路停機時間
相關新聞
- Google強攻AI眼鏡 外媒:「這2家」台廠有望成為合作夥伴(CTWANT|2025/09/02)
- Windows 11更新導致SSD故障?原廠2000小時實驗無法重現問題 外媒:恐為「罕見個案」(CTWANT|2025/08/31)
- AI安全亮紅燈!Gemini冷處理敏感自殺問題 ChatGPT正面回答「比例偏高」(CTWANT|2025/08/30)
最新文章
🔥搶先看!熱門新機優惠快訊
🔥myfone網路門市限時優惠活動速報!
🔥只給你!讀者專屬好康馬上領
立刻複製👇👇👇折價券序號,領取讀者專屬好康!
加入myfone網路門市會員😍立即折抵指定優惠商品~折價券使用方式詳見相關使用規範。
OP響樂生活部落格讀者專享
myfone網路門市 折價券序號
● 折1050序號:OPBLOG1050(滿15,000)
● 折550序號:OPBLOG550(滿6,000)
● 折350序號:OPBLOG350(滿1,800)
● 折120序號:OPBLOG120(滿500)
覺得這篇文章有幫助嗎?
趕快分享給朋友或將「OP響樂生活部落格」加入我的最愛,隨時掌握好物推薦與達人選物攻略!
想了解更多台灣大哥大電信門號資費方案和3C購物單購優惠,立即前往「myfone 網路門市」!
你必須登入才能發表留言。