🔑 **严重零日漏洞CVE-2025-9961曝光**：TP-Link路由器存在一个编号为CVE-2025-9961的严重零日远程代码执行（RCE）漏洞，意味着该漏洞在被发现时尚未有公开的补丁，对用户设备构成直接威胁。

🛡️ **绕过ASLR实现完全控制**：该漏洞允许攻击者绕过地址空间布局随机化（ASLR）这一重要的安全防护机制，直接控制路由器的执行流程，从而实现对设备的完全远程控制。

⚙️ **利用CWMP协议及栈溢出技术**：漏洞的核心在于路由器CWMP二进制文件中的栈缓冲区溢出。攻击者通过精心构造的恶意请求，可以覆盖程序计数器，控制执行流程，并利用ret2libc技术调用system()函数执行任意命令。

🎯 **暴力破解与自定义ACS是关键**：由于ASLR的存在，攻击者需要通过反复猜测libc基地址来定位关键函数。此外，攻击还需要路由器配置为接受攻击者控制的自定义自动配置服务器（ACS），最终通过SetParameterValues请求实施攻击。

🚨 **高危影响与安全建议**：成功利用此漏洞可能导致攻击者拦截流量、发起局域网攻击或将设备纳入僵尸网络。TP-Link路由器用户应密切关注厂商发布的固件更新，并及时安装补丁以防范风险。

2025-09-22 08:46 上海

漏洞利用技术分析

漏洞核心是cwmp进程中存在的栈缓冲区溢出。ByteRay研究人员发现，通过发送恶意请求可覆盖程序计数器（PC），从而控制执行流程。但ASLR安全机制随机化关键数据区域内存地址的特性构成了主要障碍。

由于该漏洞利用不涉及泄露内存布局信息，研究人员开发出暴力破解策略：通过反复猜测标准C库（libc）基地址来定位system()函数位置。

虽然错误猜测会导致cwmp服务崩溃，但研究人员指出，若攻击者能访问TP-Link网页管理界面，即可重启服务，使得暴力破解具备实操性。整个攻击流程要求路由器配置为接受攻击者的自定义自动配置服务器（ACS），最终通过包含载荷的SetParameterValues请求实施攻击。

攻击载荷采用返回libc（ret2libc）技术调用system()函数执行命令，该命令会指示路由器从攻击者控制的服务器下载并执行恶意二进制文件（如反弹shell），从而获取设备完全控制权。

漏洞发现与PoC发布

ByteRay研究团队在分析过程中发现，标准GenieACS平台会破坏二进制载荷导致利用失败，迫使其开发出能准确传输漏洞代码的自定义ACS模拟器。该团队已在GitHub发布完整技术分析报告和漏洞利用代码，声明该发布仅用于教育目的和安全研究，提醒管理员可借此测试自身设备安全性，但未经授权攻击他人系统属违法行为。

该漏洞危害性极高，成功利用可实现路由器完全远程控制，使攻击者能够拦截流量、对局域网发动进一步攻击或将设备纳入僵尸网络。此次研究揭示了TR-069等面向网络的管理协议的安全风险——即使微小的解析错误也可能演变为严重威胁，同时证明ASLR等防护机制可能被特殊攻击策略绕过。建议TP-Link路由器用户密切关注厂商固件更新并及时安装补丁。

参考来源：

TP-Link Router 0-Day RCE Vulnerability Exploited Bypassing ASLR Protections – PoC Released