Google工程師揭露TP-Link路由器含有可執行任何命令的安全漏洞

Google的資安工程師Matthew Garrett本周指出，由中國網通業者普聯技術（TP-Link）所開發的路由器SR20含有安全漏洞，將允許本地端駭客執行任何命令。

SR20為TP-Link在2016年所發表的智慧型家用路由器，它配備觸控式螢幕，標榜是個一體成型的路由器與IoT中心，可集中管理家中智慧裝置的網路服務，目前仍可在市場上購得，售價約為150美元。

Garrett說明，SR20會經常執行一個名為TDDP（TP-Link Device Debug Protocol）的遠端除錯程序，可用來執行兩種類型的命令，當中只有第二種類型需要管理員憑證，第一種則否。

在第一種類型的命令中，有一看似進行配置驗證的命令允許駭客傳送一個內含文件名稱、分號與參數的命令來啟動開採程序，並建立與SR20之間的連結，隨後駭客即可以最高權限執行任意命令。幸好SR20的防火牆會阻攔網外的攻擊行動，因此由Garrett所建立的概念性驗證攻擊程式也只能在區域網路（LAN）中運作。

其實另一資安業者Core Security也曾在2016年於TP-Link的另一款路由器產品發現類似的漏洞，這些漏洞都是衍生自TDDP。只是不管是Core Security或Garrett都未曾收到TP-Link的回應，Garrett則選擇在檢舉漏洞的90天後公布。

由於TP-Link有不少裝置都預設啟用TDDP，因此很可能還有其它裝置受到波及，Garrett也建議業者應該要在上市產品的韌體中移除除錯程序，而且既然已經建立了安全問題的檢舉頁面，最好有人在照看它。