深圳力比拓路由器曝双漏洞:PoC已公开,15个CVE的厂商还在裸奔

⚠️ 紧急预警

2026年5月1日，NVD 正式公开了深圳力比拓科技（Shenzhen Libituo Technology）旗下路由器产品 LBT-T300-HW1 的两个高危缓冲区溢出漏洞，编号分别为 CVE-2026-7674 和 CVE-2026-7675，CVSS 评分均为 8.8（High）。两个漏洞均存在于该路由器的 Web 管理界面中，攻击者可通过构造恶意请求触发缓冲区溢出，最终实现远程代码执行。更令人担忧的是，研究者已在 GitHub 上公开了完整的漏洞分析报告和利用代码。

力比拓（Libituo）是一家总部位于深圳的网络设备制造商，产品线覆盖家用和中小企业级路由器、交换机等。LBT-T300 系列是其面向中小企业市场的主力产品，在国内电商平台和线下 IT 渠道均有销售。该系列路由器通常被部署在小型办公室、连锁门店、培训机构等场景中，承担基础的网络接入和 VPN 互联功能。由于价格低廉、配置简单，LBT-T300 系列在国内中小企业市场拥有不小的存量用户基础。

值得注意的是，从 2023 年至今，力比拓 LBT-T300 系列已经累计被曝出 15 个安全漏洞，全部是缓冲区溢出类漏洞，涉及 T310、mini1、mini、T400、HW1 等多个子型号。这种"同一品牌、同一漏洞类型、跨型号反复出现"的模式，在国产路由器厂商中并不多见，反映出该厂商在安全开发流程方面存在系统性缺陷。

如果你所在的企业或家庭使用了力比拓 LBT-T300 系列路由器，或者你负责管理中小企业的网络设备，请务必立即检查固件版本并采取防护措施。

🔍 快速自查（2分钟速查）

第一步：确认设备型号

打开浏览器，访问路由器管理页面（默认地址通常为 192.168.10.1 或 192.168.1.1），登录后在"系统信息"或"关于"页面查看设备型号。如果型号为 LBT-T300-HW1，则受影响。

第二步：检查固件版本

在同一页面找到固件版本号。如果版本号 ≤ 1.2.8，则存在漏洞风险。

受影响版本：LBT-T300-HW1 ≤ 1.2.8
安全版本：暂无官方修复版本

第三步：检查 Web 管理界面是否暴露在公网

如果你的路由器管理页面可以从外网访问（即通过公网 IP 直接访问 80/443 端口能看到登录界面），风险等级将从"高"升级为"极高"。建议立即关闭远程管理功能。

📋 风险确认表

已确认的风险

无法排除的潜在风险

🛠 自救指南

第一步：立即关闭远程管理

登录路由器管理页面，找到"远程管理"或"WAN 管理"选项，立即关闭。这能确保漏洞只能从内网触发，大幅降低被远程攻击的风险。

第二步：修改默认密码

将管理员密码从默认的 admin 修改为强密码（12位以上，包含大小写字母、数字和特殊字符）。PoC 代码中使用的就是 Basic Auth 的 admin:admin 默认凭据，修改密码可以阻止最直接的攻击路径。

# PoC 中使用的默认凭据（Base64 编码）
Authorization: Basic YWRtaW46YWRtaW4=
# 解码后 = admin:admin

第三步：限制管理页面访问范围

在路由器设置中，将管理页面的访问 IP 白名单限制为只有你自己的设备 IP。如果路由器不支持 IP 白名单，至少确保管理页面仅监听内网接口。

第四步：关注厂商固件更新

截至目前，力比拓科技尚未发布针对 LBT-T300-HW1 的安全补丁。建议定期访问厂商官网或联系售后，确认是否有新固件发布。如果厂商长期不提供更新，应考虑更换其他品牌的路由器设备。

第五步：监控异常网络行为

检查路由器的连接日志和系统日志，关注是否有来自异常 IP 地址的管理页面访问记录，尤其是非工作时间段的登录尝试。如果路由器支持 Syslog 功能，建议将日志转发到独立的日志服务器进行集中分析。如果发现可疑连接记录，应立即断开路由器的网络连接，对设备进行恢复出厂设置操作，并在重置后第一时间修改所有凭据。同时建议检查内网中是否有其他设备出现异常流量模式，以排除已被横向渗透的可能性。

🔬 技术分析

CVE-2026-7674：VPN 服务栈溢出

该漏洞存在于 LBT-T300-HW1 的 Web 管理界面中，具体位置是 start_single_service 函数处理 VPN 配置请求的逻辑中。当用户通过 Web 界面提交 PPTP 或 L2TP VPN 服务器配置时，系统会调用 reselov_vpn_server 函数，该函数通过 nvram_get 从 Web 请求中获取 vpn_pptp_server 和 vpn_l2tp_server 参数值，但未对输入长度进行任何校验。

攻击者只需在 VPN 配置请求中注入一个超长的 vpn_pptp_server 参数值，即可覆盖栈上的返回地址，劫持程序执行流程。完整的调用链为：

main → syb_40C360 → start_single_service → connect_vpn → reselov_vpn_server
                                                         ↑ 漏洞触发点

从安全研究者的分析报告来看，该漏洞属于经典的栈缓冲区溢出（Stack Buffer Overflow），攻击者可以通过精心构造的 payload 控制寄存器值，最终跳转到任意地址执行 shellcode。由于路由器通常运行 Linux 系统且缺乏 ASLR、DEP 等现代防护机制，利用难度相对较低。

CVE-2026-7675：LAN/WLAN 配置栈溢出

该漏洞的触发路径与 CVE-2026-7674 类似，但攻击面更广。漏洞位于 generate_conf_router 函数中，该函数负责生成路由器的 LAN 和 WLAN 配置文件。攻击者通过向 /apply.cgi 端点发送 POST 请求，在 Channel 或 ApCliSsid 参数中注入超长数据，即可触发缓冲区溢出。

调用链如下：

main → sub_40C360 → start_lan → start_wlan → config_wlan → generate_conf → generate_conf_router
                                                                      ↑ 漏洞触发点

与 CVE-2026-7674 的关键区别在于，CVE-2026-7675 的攻击面更广——Channel 和 ApCliSsid 是 WiFi 配置的基础参数，几乎所有用户在初始设置时都会接触到。这意味着即使用户没有配置 VPN 功能，只要设置了 WiFi 信道或 AP Client 功能，就可能触发该漏洞。

攻击链还原

第一阶段：侦察。攻击者通过 Shodan、Fofa 等网络空间搜索引擎扫描暴露在公网的 LBT-T300 路由器管理页面。由于该系列路由器使用特定的 HTTP Server Banner 和默认页面特征，批量识别成本极低。攻击者还可以通过搜索 GitHub 上的漏洞分析报告获取设备指纹信息。

第二阶段：认证绕过。PoC 代码中使用 HTTP Basic Auth 的默认凭据（admin:admin）进行认证。对于从未修改默认密码的设备，攻击者直接获得管理权限。对于已修改密码的设备，攻击者可结合暴力破解或社会工程手段获取凭据。

第三阶段：漏洞利用。攻击者登录管理页面后，向 /apply.cgi 发送精心构造的 POST 请求，在 VPN 或 WiFi 配置参数中注入恶意 payload。由于路由器固件缺乏栈保护机制（Stack Canary）和地址空间随机化（ASLR），payload 可以精确覆盖返回地址，将执行流劫持到攻击者预设的 shellcode 地址。

第四阶段：权限巩固。成功执行任意代码后，攻击者可以获得路由器的 root 权限。由于 LBT-T300 运行的是精简版 Linux 系统，且缺乏完善的进程隔离和文件系统保护机制，攻击者获得 root 权限后可以执行几乎所有操作。常见的后续攻击行为包括：通过修改 /etc/init.d/ 启动脚本植入持久化后门，即使设备重启也无法清除；配置端口映射规则将内网服务暴露到公网，方便后续渗透其他内网设备；劫持 DNS 解析配置，将银行、邮箱等关键网站的流量重定向到钓鱼服务器，窃取企业员工的账号密码；将路由器招募进 Mirai 变种僵尸网络，用于发起大规模 DDoS 攻击或进行加密货币挖矿。由于路由器通常 7×24 小时在线且很少被纳入企业安全监控范围，这种持久化后门可以在管理员毫不知情的情况下潜伏数月甚至数年。

📊 历史漏洞分析：力比拓的"安全债"

这已经不是力比拓 LBT-T300 系列第一次被曝出安全漏洞了。根据 NVD 数据库记录，自 2023 年以来，该产品系列已累计披露 15 个 CVE 漏洞，几乎全部是缓冲区溢出类型。以下为主要漏洞时间线：

从上表可以清晰看出，力比拓 LBT-T300 系列路由器的安全问题具有系统性和周期性特征。从 2023 年到 2026 年，跨越 T310、mini1、mini、T400、HW1 等多个型号，漏洞类型始终是缓冲区溢出，漏洞位置始终是 Web 管理界面的 CGI 处理函数。这说明厂商在安全开发生命周期（SDL）方面存在根本性缺陷——每次"修复"只是堵住了具体的溢出点，而没有从架构层面解决输入验证缺失的问题。

对于中小企业用户而言，使用这种"漏洞常客"品牌的路由器设备，相当于在网络入口处留了一扇永远关不严的门。每一个新 CVE 的披露，都在提醒用户：是时候考虑更换更安全的网络设备了。

🛡 防御纵深建议

除了上述针对 LBT-T300 的具体自救措施外，以下防御纵深策略可以帮助你建立更完善的网络安全防线，即使未来再有类似漏洞披露，也能将损失降到最低。

• 网络分段隔离：将 IoT 设备（路由器、摄像头、智能家居）与办公/生产网络隔离，使用独立的 VLAN 或子网。即使路由器被攻陷，攻击者也无法直接访问核心业务系统。
• 入侵检测与流量监控：在网络边界部署 IDS/IPS（如 Suricata、Snort），配置规则检测异常的 CGI 请求和超长参数注入。对路由器的管理页面访问日志进行定期审计。
• 最小权限原则：为路由器管理创建独立的管理员账户，禁用默认的 admin 账户。如果路由器支持角色权限控制，日常维护使用只读账户，仅在需要修改配置时使用管理员账户。
• 固件供应链审计：在采购网络设备前，查询该品牌在 NVD/CVE 数据库中的历史漏洞记录。像力比拓这样 15 个 CVE 的"战绩"，应该直接列入采购黑名单。
• 定期漏洞扫描：使用 Nuclei、OpenVAS 等工具定期扫描内网设备，将路由器、交换机等网络基础设施纳入扫描范围。不要假设"小品牌设备没人关注"——安全研究者的猎奇心理远超你的想象。

🏢 企业应急响应建议

如果你是企业 IT 管理员，发现网络中部署了力比拓 LBT-T300 系列路由器，请按照以下步骤进行应急响应：

• 资产盘点（第1天）：立即排查企业网络中所有 LBT-T300 系列设备的部署位置、固件版本和管理方式。使用 Nmap 或 arp-scan 扫描内网，识别所有使用力比拓默认 MAC 地址前缀的设备。建立受影响设备清单，记录每台设备的 IP 地址、部署位置和业务关联。
• 风险评估（第1-2天）：根据设备的网络位置和业务重要性，将受影响设备分为"紧急"和"一般"两级。暴露在公网或位于核心业务 VLAN 中的设备列为"紧急"，仅在隔离 IoT 网段中的设备列为"一般"。优先处理紧急级别的设备。
• 分阶段补丁部署（第2-5天）：由于厂商尚未发布补丁，"补丁"在这里指的是缓解措施——关闭远程管理、修改默认密码、限制管理页面访问。对于紧急级别的设备，安排在非业务时间集中处理；一般级别设备可在一周内完成。
• 持续监控（长期）：在防火墙规则中添加对 /apply.cgi 异常请求的检测规则，监控是否有来自内网的针对路由器管理页面的暴力破解行为。将力比拓品牌加入企业采购黑名单，后续网络设备采购不再考虑该品牌产品。
• 供应商沟通（第1周内）：联系力比拓科技的售后或技术支持，确认是否有计划发布安全补丁，以及新固件的预计发布时间。如果厂商无法给出明确的时间表，应启动设备替换的预算审批流程。

📌 解决方案与参考资料

截至目前，深圳力比拓科技尚未发布针对 CVE-2026-7674 和 CVE-2026-7675 的安全补丁。鉴于该厂商在历史上从未针对缓冲区溢出漏洞发布过有效修复，建议用户采取以下措施：

• 短期：关闭远程管理、修改默认密码、限制管理页面访问范围
• 中期：部署网络隔离，将 LBT-T300 设备限制在独立 VLAN 中
• 长期：更换为有持续安全更新保障的品牌路由器设备

引用链接：

[1] CVE-2026-7674 NVD 详情页：https://nvd.nist.gov/vuln/detail/CVE-2026-7674

[2] CVE-2026-7675 NVD 详情页：https://nvd.nist.gov/vuln/detail/CVE-2026-7675

[3] GitHub 漏洞分析报告：https://github.com/hmKunlun/lbt-t300-hw1

[4] VulDB 漏洞条目：https://vuldb.com/vuln/360827

龙虾池子 · AI 自动生成