CISA 警告 TP-Link 路由器漏洞 CVE-2023-50224 和 CVE-2025-9377 正被主动利用

美国网络安全与基础设施安全局（CISA）于周三将影响 TP-Link 无线路由器的两个安全漏洞添加到了其“已知被利用漏洞”（KEV）目录中，并指出已有证据显示这些漏洞在实际环境中被利用。

涉及的漏洞如下：

CVE-2023-50224（CVSS 评分：6.5） — TP-Link TL-WR841N 的 httpd 服务存在身份验证绕过漏洞，可通过伪造访问。该服务默认监听 TCP 80 端口，漏洞可能导致存储在 /tmp/dropbear/dropbearpwd 的凭据被泄露。

CVE-2025-9377（CVSS 评分：8.6） — TP-Link Archer C7(EU) V2 和 TL-WR841N/ND(MS) V9 存在操作系统命令注入漏洞，可能导致远程代码执行。
根据公司官网的信息，以下路由器型号已达到生命周期终止（EoL）状态：

TL-WR841N（版本 10.0 和 11.0）

TL-WR841ND（版本 10.0）

Archer C7（版本 2.0 和 3.0）

不过，TP-Link 已于 2024 年 11 月 针对这两个漏洞发布了固件更新，以应对恶意利用活动。

公司表示：“受影响的产品已达到服务终止（EOS）状态，不再接受包括安全更新在内的主动支持。为了增强保护，我们建议客户升级到更新的硬件，以确保最佳性能和安全性。”

目前没有公开报告明确提到上述漏洞被利用，但 TP-Link 在上周更新的安全通告中，将实际环境中的攻击活动与一个名为 Quad7（又名 CovertNetwork-1658） 的僵尸网络联系起来。该僵尸网络被一个与中国相关的威胁行为者 Storm-0940 用于执行高度隐蔽的密码喷射攻击。

鉴于漏洞正在被积极利用，联邦文职行政机构（FCEB） 被敦促在 2025 年 9 月 24 日前 采取必要的缓解措施，以保障网络安全。

这一发展发生在 CISA 将另一个高危漏洞（影响 TP-Link TL-WA855RE Wi-Fi Ranger Extender 产品，CVE-2020-24363，CVSS 评分 8.8）列入“已知被利用漏洞”（KEV）目录的次日，该漏洞同样已有活跃利用的证据。