Google的资安工程师Matthew Garrett本周指出,由中国网通业者普联技术(TP-Link)所
开发的路由器SR20含有安全漏洞,将允许本地端骇客执行任何命令。
SR20为TP-Link在2016年所发表的智慧型家用路由器,它配备触控式萤幕,标榜是个一体
成型的路由器与IoT中心,可集中管理家中智慧装置的网络服务,目前仍可在市场上购得
,售价约为150美元。
Garrett说明,SR20会经常执行一个名为TDDP(TP-Link Device Debug Protocol)的远端
除错程序,可用来执行两种类型的命令,当中只有第二种类型需要管理员凭证,第一种则
否。
在第一种类型的命令中,有一看似进行配置验证的命令允许骇客传送一个内含文件名称、
分号与参数的命令来启动开采程序,并建立与SR20之间的连结,随后骇客即可以最高权限
执行任意命令。幸好SR20的防火墙会阻拦网外的攻击行动,因此由Garrett所建立的概念
性验证攻击程式也只能在局域网路(LAN)中运作。
其实另一资安业者Core Security也曾在2016年于TP-Link的另一款路由器产品发现类似的
漏洞,这些漏洞都是衍生自TDDP。只是不管是Core Security或Garrett都未曾收到
TP-Link的回应,Garrett则选择在检举漏洞的90天后公布。
由于TP-Link有不少装置都默认启用TDDP,因此很可能还有其它装置受到波及,Garrett也
建议业者应该要在上市产品的韧体中移除除错程序,而且既然已经建立了安全问题的检举
页面,最好有人在照看它。