随着智能家居和物联网设备的广泛普及,无线网络设备的安全性备受关注。近期,美国网络安全与基础设施安全局(CISA)公开宣布,将两项针对TP-Link无线路由器的重要安全漏洞加入其已知被积极利用漏洞(KEV)目录,警示全球用户这些漏洞已经被实际攻击者利用,存在较大安全威胁。TP-Link作为全球知名的网络设备制造商,其产品广泛应用于家庭和企业环境中,这使得此次安全事件引发了大量网络安全关注和应对行动。此次被标记的两个漏洞分别是编号为CVE-2023-50224和CVE-2025-9377。首先,CVE-2023-50224涉及TP-Link TL-WR841N型号路由器的httpd服务,该服务默认监听TCP端口80。攻击者能够通过身份验证绕过漏洞进行欺骗,访问存储在路由器"/tmp/dropbear/dropbearpwd"路径下的凭证信息。
该漏洞的CVSS得分为6.5,属于中等危害级别,但凭证泄露无疑为后续攻击打开了方便之门,极大增加了远程攻击的风险。其次,编号为CVE-2025-9377的漏洞则更加严重。它出现在TP-Link Archer C7(欧盟版本)V2以及TL-WR841N/ND(MS)V9路由器中,是一种操作系统命令注入漏洞,攻击者能够利用该缺陷在路由器上远程执行任意代码。凭借该漏洞,攻击者不仅可以控制设备,还能作为跳板对内网进行更大范围的攻击。该漏洞的CVSS得分高达8.6,属于高危级别。这两款路由器型号均已达到产品的生命周期终点,即已停止接受厂商的官方支持与安全更新。
TP-Link官方网站显示,TL-WR841N(版本10.0和11.0)、TL-WR841ND(版本10.0)和Archer C7(版本2.0和3.0)均属于停产或已结束服务的产品。尽管如此,TP-Link在2024年11月针对这两个漏洞发布了固件更新,以缓解恶意攻击的风险。用户若继续使用旧设备,依然面临被攻击的巨大威胁。针对这一情况,TP-Link官方建议用户尽快升级至新型号硬件,以确保更高的性能和更完善的安全防护能力。CISA的通报中指出,尽管目前尚无公开报告直接披露利用这些漏洞的攻击实例,TP-Link在上周更新的安全公告中透露,这些漏洞正被一个名为Quad7(别称CovertNetwork-1658)的僵尸网络利用。该僵尸网络与一个代号为Storm-0940、与中国相关的威胁组织有关,该组织已使用该僵尸网络实施高度隐蔽的密码喷射攻击。
这种攻击手法借助被入侵设备进行密码爆破,威胁极大,尤其针对联邦公民执行机构(FCEB)等关键政府部门的网络安全。鉴于漏洞正在被实际利用,CISA要求联邦公民执行部门在2025年9月24日前完成对应漏洞的漏洞补丁应用和安全加固工作,以阻止潜在的网络渗透和数据泄露。CISA的这一行动是在其不断强化已知被利用漏洞池管理的背景下进行的,紧接着一天前,TP-Link另一款产品TL-WA855RE Wi-Fi信号中继器的高危漏洞(CVE-2020-24363,CVSS评分8.8)也被加入KEV目录,表明该厂商相关产品面临的安全挑战日益严峻。该事件的曝光提醒广大用户和企业,应当高度重视网络设备的安全维护。特别是路由器作为连接内部网络与互联网的关键桥梁,其安全漏洞一旦被利用,将可能造成企业机密数据泄露、供应链攻击甚至大规模的勒索软件感染。建议用户第一时间访问TP-Link官网确认设备是否受到影响,按厂商指引更新设备固件。
对于已停止支持的旧型号产品,最有效的安全措施是尽早更换新设备。同时,企业和机构应实施完善的网络安全策略,包含网络分段、访问控制和实时监控,防止攻击者利用漏洞横向移动和扩大破坏范围。总体而言,CISA将TP-Link路由器漏洞纳入已知被利用漏洞目录,标志着网络安全监管力度的提升。用户的安全意识和主动防护行为是对抗当前和未来网络威胁的关键。正确理解漏洞特性,及时下载固件补丁,合理评估设备的继续使用风险,以及选择更安全的网络设备,应成为每个用户和企业整体安全战略的重要组成部分。面临复杂多变的网络安全环境,唯有不断强化防御措施和安全文化建设,才能最大限度地保障数据信息安全,防止黑客入侵及潜在的经济损失。
。
