HackerNews 编译，转载请注明出处： TP-Link 已针对旗下 Archer BE230 Wi-Fi 7 路由器发布紧急固件更新，修复多款高危安全漏洞. 这些漏洞可使经过身份验证的攻击者执行任意操作系统（OS）命令，从而完全掌控设备管理权。 受影响的设备为 Archer BE230 v1.2 型号，其固件版本早于 1.2.4 Build 20251218 rel.70420。漏洞涉及 VPN 模块、云通信服务及配置备份功能等多个系统组件。 TP-Link OS命令注入漏洞分析 所有相关CVE漏洞的核心均为操作系统命令注入问题。该类漏洞的成因在于，应用程序将未经安全处理的用户输入数据（如表单数据、Cookie 或 HTTP 头）直接传递至系统 shell 执行。 具体而言，已获取高权限（即通过认证）的攻击者能够注入恶意命令，并由路由器以 root 权限执行。尽管攻击复杂度被评定为较低（AC:L），但其利用前提是攻击者需具备高权限（PR:H）。 然而，若攻击者已通过弱密码或会话劫持等方式获得初步管理员权限，便可利用这些漏洞实现权限升级，从基础管理访问跃升至对设备底层操作系统的完全控制。 尽管这些漏洞造成的最终影响相似，但它们源自不同的代码路径（具体CVE编号如下表所示）。成功利用后，攻击者能够篡改路由器配置、拦截网络流量、中断服务，甚至将受控设备作为跳板，攻击网络内的其他设备。 为应对威胁，TP-Link 已发布修复固件。网络管理员及用户务必立即更新设备固件。 用户可访问对应区域（美国、国际英文或新加坡）的 TP-Link 官方支持页面下载最新固件。如未能及时安装更新，网络基础设施将面临被攻陷的风险。 消息来源:cybersecuritynews.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 已修复一个严重漏洞，该漏洞影响 32 款以上的 VIGI C 和 VIGI InSight 系列摄像头，可能导致监控系统被远程入侵。研究人员发现，互联网上至少有 2,500 台此类设备直接暴露在公网环境中。 此次漏洞被编号为 CVE-2026-0629，CVSS 评分为 8.7（高危），影响 32 款以上的 VIGI C 与 VIGI InSight 摄像头型号。该漏洞允许位于同一局域网内的攻击者滥用密码恢复功能绕过身份认证，直接重置管理员密码，从而完全控制摄像头。 安全公告指出：“VIGI 摄像头本地 Web 管理界面的密码恢复功能存在身份验证绕过问题。攻击者可通过操纵客户端状态，在无需任何验证的情况下重置管理员密码。”公告还称：“攻击者能够获得设备的完整管理权限，进而危及系统配置和网络安全。” TP-Link 的 VIGI 摄像头属于专业视频监控产品，面向商业和企业用户，而非家庭消费级市场。 该漏洞由 Redinent Innovations 的研究人员 Arko Dhar 披露。他在接受 SecurityWeek 采访时表示，攻击者可以远程利用这一漏洞，并且在 2025 年 10 月，他仅针对其中一款型号进行扫描，就发现有超过 2,500 台存在漏洞的摄像头直接暴露在互联网上。他强调，由于只检测了单一型号，实际受影响设备数量可能远高于这一数字。 一旦 TP-Link VIGI 摄像头遭到入侵，可能带来严重后果，包括：实时与历史视频内容被窃取、对人员和场所进行监控与间谍活动、协助实施物理入侵、作为跳板横向渗透企业内网、被纳入僵尸网络用于 DDoS 攻击、篡改监控证据、干扰业务运营，以及因侵犯隐私而引发法律和监管风险。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦多部门正联合支持一项提案，计划禁止TP-Link 家用路由器在美销售，理由是该厂商被指仍与前中国母公司存在紧密关联。 据《华盛顿邮报》报道，美国商务部已正式提出这一禁售建议。消息人士透露，该提案获得了美国国防部、国土安全部及司法部的支持。 指控理由 TP-Link Systems总部位于美国加利福尼亚，最初是从中国本土企业普联技术（TP-Link Technologies）分拆而来。 数据显示，该公司产品占据美国家用路由器市场份额的36%。且由于一些互联网服务提供商会捆绑TP-Link设备，实际份额可能更高。 美国商务部指控的理由有两个： 第一，该公司仍持有原中国母公司在华资产。 第二，路由器设备涉及美国敏感数据处理，或存安全隐患。 此外，据此，商务部怀疑该公司仍受中国政府的管辖或影响。 对此，TP-Link 美国公司明确否认所有指控，并表示过去三年已与中国母公司完成彻底拆分。 公司发言人里卡・西尔维里奥在声明中强调：“TP-Link 坚决驳斥任何有关其产品对美国国家安全构成威胁的说法，我们作为一家美国企业，始终致力于为美国及全球市场提供高品质、安全可靠的产品。” 未来走向 目前，该提案仍需美国商务部最终签署生效，且不排除被否决的可能。 近期，中美两国领导人会晤后，双方达成了为期一年的贸易休战协议。 或许正因如此，《华盛顿邮报》指出，提案中预留了协商空间：TP-Link 美国公司可通过提交一份令政府满意的解决方案，来避免禁令生效。美方的核心诉求是获得明确保证：产品的关键软硬件研发过程，不得受到中国方面的任何影响。 这一情节与 TikTok 的命运轨迹颇为相似。TikTok 的母公司字节跳动总部位于中国，此前特朗普政府在获得国家安全相关承诺后，允许该应用继续在美国运营，中国方面也已批准相关协议；此外，TikTok 还需将其核心算法复制后，利用美国用户数据重新训练。 根据美国相关法律，若商务部长认定某款受外国影响的技术存在安全风险，商务部有权提出风险缓解方案。但在 TP-Link 一案中，官员们认为，除全面禁售外，任何缓解措施都无法达到安全要求。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 就其 Omada 网关设备中的两个命令注入漏洞发布警告，这些漏洞可能被攻击者利用以执行任意操作系统命令。 Omada 网关作为集成路由器、防火墙、VPN 网关功能的全栈解决方案推向市场，主要面向中小型企业，其普及率正持续上升。 尽管这两个安全问题被触发后会导致相同结果，但其中仅有一个漏洞（编号 CVE-2025-6542）的风险等级为 “高危”，CVSS 评分为 9.3，远程攻击者无需身份验证即可利用该漏洞。 另一个漏洞编号为 CVE-2025-6541，风险评分较低，为 8.6。但该漏洞仅在攻击者能够登录 Web 管理界面的情况下才可被利用。 TP-Link在安全公告中表示：“无论是已登录 Web 管理界面的用户，还是远程未认证攻击者，都可能在 Omada 网关上执行任意操作系统命令。” 该公司进一步补充：“攻击者可能在设备的底层操作系统上执行任意命令。” 这两个漏洞所带来的风险极为严重，可能导致设备被完全攻陷、数据被盗、攻击者横向渗透至其他设备，以及实现持久化控制。 TP-Link已发布修复这两个问题的固件更新，并强烈建议使用受影响设备的用户安装这些修复程序，且在升级后检查配置，确保所有设置均保持符合预期的状态。 在另一份公告中，TP-Link还就另外两个严重漏洞发出警告，这些漏洞在特定条件下可能允许攻击者通过身份验证后执行命令注入，或获取 root 权限。 第一个漏洞编号为 CVE-2025-8750（CVSS 评分：9.3），属于命令注入漏洞，持有管理员密码、能够登录 Omada Web 门户的攻击者可利用该漏洞。 第二个漏洞编号为 CVE-2025-7851（CVSS 评分：8.7），攻击者可利用该漏洞在底层操作系统上获取具有 root 权限的 Shell 访问，但权限范围受 Omada 自身权限限制。 CVE-2025-8750 与 CVE-2025-7851 影响上文表格中列出的所有 Omada 网关型号。值得注意的是，最新发布的固件已修复上述全部四个漏洞。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据 Cato CTRL 团队的新发现，未修复的 TP-Link Archer 路由器已成为一个新的僵尸网络活动的目标，该活动被称为 Ballista。 “该僵尸网络利用 TP-Link Archer 路由器中的远程代码执行（RCE）漏洞（CVE-2023-1389），通过互联网自动传播自身。” 安全研究员 Ofek Vardi 和 Matan Mittelman 在与 The Hacker News 共享的技术报告中表示。 CVE-2023-1389 是影响 TP-Link Archer AX-21 路由器的高严重性安全漏洞，可能导致命令注入，从而为远程代码执行铺平道路。 最早利用该漏洞的证据可以追溯到 2023 年 4 月，当时未知的威胁行为者利用它来投放 Mirai 僵尸网络恶意软件。从那以后，它还被用来传播 Condi 和 AndroxGh0st 等其他恶意软件家族。 Cato CTRL 表示，他们于 2025 年 1 月 10 日检测到了 Ballista 活动，最近一次利用尝试记录在 2 月 17 日。 攻击序列涉及使用恶意软件投放器，一个名为 “dropbpb.sh” 的 shell 脚本，设计用于在目标系统上获取并执行适用于各种系统架构（如 mips、mipsel、armv5l、armv7l 和 x86_64）的主要二进制文件。 一旦执行，恶意软件会在 82 端口建立加密的命令和控制（C2）通道，以控制设备。 “这允许运行 shell 命令以进行进一步的远程代码执行和拒绝服务（DoS）攻击。” 研究人员表示，“此外，恶意软件还会尝试读取本地系统上的敏感文件。” Ballista 僵尸网络 支持的一些命令包括： flooder，触发洪水攻击 exploiter，利用 CVE-2023-1389 漏洞 start，与 exploiter 一起使用的可选参数，用于启动模块 close，停止触发功能的模块 shell，在本地系统上运行 Linux shell 命令 killall，用于终止服务 此外，它能够在执行开始时终止之前的实例并擦除自身存在。它还设计用于通过尝试利用该漏洞传播到其他路由器。 使用 C2 IP 地址位置（2.237.57[.]70）和恶意软件二进制文件中存在意大利语字符串，表明涉及未知的意大利威胁行为者，网络安全公司表示。 尽管如此，似乎该恶意软件正在积极开发中，因为该 IP 地址已不再有效，并且存在一个新的投放器变体，使用 TOR 网络域而不是硬编码的 IP 地址。 在攻击面管理平台 Censys 上的搜索显示，超过 6000 台设备被 Ballista 感染。感染主要集中在巴西、波兰、英国、保加利亚和土耳其。 该僵尸网络被发现针对美国、澳大利亚、中国和墨西哥的制造业、医疗/保健、服务和科技组织。 “虽然这个恶意软件样本与其他僵尸网络有相似之处，但它仍然与广泛使用的 Mirai 和 Mozi 僵尸网络不同。” 研究人员表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文