值得注意的是，Matthew Garrett早在 90 天前，也就是去年12月份，便将相关漏洞报告提交给TP-LINK（相关网站提示1~3日回复）后没有收到任何回复。由于该漏洞接收平台漏洞详情描述字段限制500字不能提供完整的漏洞报告，他又在几周后通过推特联系相关负责人亦没有任何回复，才选择将漏洞正式公开。

周三Matthew Garrett 公开的 38 行概念验证代码显示出在利用 SR20 的漏洞时可以使用 root 权限执行设备上的任何命令，并且无需身份验证。

他在推特发文解释称，这个 0day 漏洞赖以存在的事实是，“TP-Link 路由器常常以 root 权限运行名为‘tddp（TP-Link设备调试协议）’的进程”，而这个进程此前被指包含其它多个漏洞。

TDDP 允许在设备上运行两种类型的命令：第一种不要求认证，而第二种要求管理员凭证。

易受攻击的路由器暴露了多个第一种类型的命令（即不要求认证的命令），其中一种命令 0X1f、请求 0X01“似乎是为某种配置验证设置”，允许准黑客发送一个命令，其中包含一个文件名称、一个分号以及参数来初始化利用进程。

这样指令 TP-Link 路由器将特殊构造的请求通过 Trivial File TransferProtocol (TFTP) 向机器发送特制请求。一旦连接到攻击者的机器，SR20智能集线器通过TFTP请求文件名，将其导入LUA解释器并将参数传递给刚导入的文件中的config_test（）函数。解释器以root身份运行。接下来，os.execute（）将允许未经身份验证的攻击者以root身份执行任何命令，从而完全控制TP-Link SR20设备。

有兴趣的同学可以下载SR20二进制固件研究下，地址如下：

https://www.tp-link.com/us/support/download/sr20/#Firmware

POC：

实际上，这已非TP-LINK首次曝出安全漏洞。公开信息显示，早在2013年，波兰网络安全专家Sajdak发现TP-LINK TL-WDR4300和TL-WR743ND (v1.2 v2.0)无线路由器涉及到http/tftp的后门漏洞。该漏洞还被我国的国家信息安全漏洞共享平台（CNVD）收录，多地公安局官方微博也向广大网民提出了漏洞警示。

而面对漏洞问题，TP-LINK还被媒体曝出存在“不够重视”、“不愿为之买单”等消极态度”。据外媒neowin称，2016年，TP-LINK被曝出“域名注册失效 跳转其他网址”。该漏洞可能导致用户被导向危险网页。然而普联公司似乎并不关心。

记者注意到，近年来，除了TP-LINK外，思科、D-Link也曾被曝出安全漏洞。今年2月，Rapid7研究人员在思科 RV320和RV325两种型号路由器中发现了漏洞，该漏洞将允许未经身份验证的远程攻击者检索其保存的全部敏感信息。去年8月，一名安全研究人员称，黑客可利用D-Link调制解调器路由器中的漏洞将人们链接到虚假银行网站，试图窃取他们的登录凭证。

面对日趋高发的路由器漏洞问题，厂商对安全问题的忽视或难辞其咎。厂商是守卫IoT安全的第一道关口。厂商能否为IoT设备设置安全模块、高强度的出厂密码，及时修复漏洞，都关系着IoT设备的安全。

参考来源：

安全牛

代码卫士

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com