一、事件概述
2026年6月3日,宏碁(Acer)官方发布安全公告,确认其Wave 7系列Mesh路由器存在两个最高严重级别的零日漏洞。安全研究人员Gergo Pap通过协调漏洞披露流程向宏碁报告了这两个问题,并已确认攻击者正在野外利用这些漏洞。受影响型号覆盖全部Wave 7系列——包括Wave 7-2400、Wave 7-3600和Wave 7-6000,且自2025年初产品线发布以来的所有固件版本均受影响。
二、漏洞技术分析
两个漏洞编号分别为CVE-2026-49200和CVE-2026-49201,虽然官方尚未公布CVSS评分,但均被标注为"最高严重级别"(maximum-severity)。下面逐一分析其技术原理:
1. CVE-2026-49200:明文凭证泄露(访问控制失效)
设备的acer_cgi.log日志文件可通过路由器Web管理界面在无需任何身份认证的情况下直接访问。该日志文件中以明文形式存储了Web界面和Telnet的登录用户名及密码。攻击者只需构造一个简单的HTTP请求即可读取该文件,获取管理员凭证后完全控制路由器。
这个漏洞的荒谬之处在于——将明文密码写入可公开访问的日志文件,这属于安全设计的最基础失误。在2026年,厂商出现此类问题实在令人难以接受。
2. CVE-2026-49201:固件加密密钥硬编码(后门注入)
设备固件中负责处理备份功能的upload.cgi二进制文件内,硬编码了AES加密密钥。无权限的远程攻击者可以利用该密钥:
- 解密系统备份文件,获取所有配置信息
- 向备份中注入恶意代码或后门
- 重新加密篡改后的备份文件
- 通过固件恢复机制将恶意负载部署到路由器
这种攻击方式可以实现持久化后门——即使重启路由器、恢复出厂设置,只要备份文件未被清理,攻击者都能重新获取控制权。
三、攻击链路与危害分析
这两个漏洞的组合攻击威胁尤为严重。攻击者可以先用CVE-2026-49200获取明文管理凭证,登录路由器管理后台;再利用CVE-2026-49201注入持久化后门,实现长期隐蔽控制。
更值得警惕的是Mesh网络架构的特殊性——一旦攻陷Mesh网络中的任意一个节点,攻击者往往能获取整个网络拓扑的访问权限,包括所有连接的IoT设备、无线客户端和分段网络区域。对企业来说,这意味着攻击者可能从一台路由器出发,横向移动到整个办公网络。
宏碁官方已确认这些漏洞正在被野外利用。独立安全研究人员在检测到针对宏碁Mesh路由器生态系统的可疑网络活动后,启动了协调漏洞披露流程。
四、受影响范围
| 项目 | 详情 |
|---|---|
| 受影响型号 | Wave 7-2400、Wave 7-3600、Wave 7-6000 |
| 受影响固件 | 所有版本(1.0.0 ~ 2.3.4) |
| 漏洞严重级别 | 最高严重级别(maximum-severity) |
| 攻击前提 | 无需认证、无需用户交互 |
| 在野利用 | 已确认 |
| 补丁状态 | 开发中,预计2026年6月底发布 |
| 高风险场景 | 开放远程管理的企业网关、中小分支办公网络 |
五、临时防护建议
在宏碁发布官方补丁之前(预计还需2-3周),我们建议所有使用Wave 7路由器的企业和管理员立即采取以下措施:
- 立即关闭远程管理功能:将管理访问限制在本地局域网内,禁止从WAN口访问管理界面。
- 修改默认管理员密码:如果仍在使用出厂默认凭证,务必更换为强密码。
- 删除或清理acer_cgi.log文件:SSH登录路由器,检查并清空/var/log/acer_cgi.log(具体路径以实际为准),避免明文密码被读取。
- 防火墙加固:在边界防火墙上阻止外部IP对路由器80、443、8080端口的访问。
- 实施网络分段:将Mesh路由器所在的网段与核心业务网络隔离,防止横向移动。
- 部署网络监控:密切监控异常管理登录尝试、非计划内的配置变更和固件更新活动。
- 使用VPN替代远程管理:如需远程运维,通过VPN接入内网后再管理路由器,并启用多因素认证。
六、深度思考:路由器安全为何总是"后知后觉"?
从去年华硕路由器被RondoDox僵尸网络利用2018年漏洞攻击,到如今宏碁Wave 7因明文日志和硬编码密钥沦陷,路由器安全领域再次敲响警钟。
我们认为核心问题有三点:一是消费级和企业级路由器之间的安全标准差异巨大,Mesh路由器常定位在"消费级"和"SMB级"之间的模糊地带,安全投入不足;二是固件供应链安全长期被忽视,开发者为了方便调试将敏感信息写入日志,却未考虑生产环境的安全后果;三是Mesh架构引入了新的攻击面——多节点通信协议的安全性往往没有经过与单机同等强度的安全审计。
对于企业IT管理员而言,这次事件提醒我们:即使是知名品牌的网络设备,也需要纳入统一的安全管理规范。定期固件审计、网络设备访问控制、异常行为监控,这些看似基础的工作,恰恰是抵御此类攻击的第一道防线。
七、更新与后续
宏碁预计将于2026年6月底发布紧急固件更新以修复这两个漏洞。用户可通过以下步骤升级:Wi-Fi或以太网连接路由器 → 浏览器访问192.168.76.1或acerconnect.com → 管理员登录 → 系统管理 → 固件更新 → 检查更新。
我们将持续关注补丁发布情况,届时第一时间更新本文。如果您在实际管理过程中遇到安全配置方面的困难,欢迎通过网站留言板联系我们获取技术支持。