漏洞概述 漏洞编号: Submit #782053 标题: Tenda 4G03 Pro V1.0 V04.03.01.53 加密问题 核心问题: 固件中硬编码未加密的ECDSA P-256私钥 私钥文件位置: 附加受影响文件: 和 固件可从厂商官网公开下载,攻击者可获取全球所有部署设备的TLS私钥 影响范围 设备型号: Tenda 4G03 Pro V1.0 固件版本: V04.03.01.53 固件文件名: SHA256: 攻击后果: 解密所有HTTPS流量 对任何运行该固件的设备进行中间人攻击 破坏设备固件完整性验证链 攻击步骤 备用下载链接: 修复方案 在制造或首次启动时为每台设备生成唯一密钥对 禁止在固件镜像中嵌入私钥 将密钥存储在受保护的存储中,与文件系统隔离