IBM已披露了中国网络解决方案提供商腾达在电力线扩展器中发现的几个漏洞的详细信息。IBM表示，腾达忽略了其电子邮件和电话，目前尚不清楚是否正在开发任何补丁程序。

电力线扩展器被认为是Wi-Fi扩展器的替代方案，它利用建筑物的电线来扩大Internet连接的范围。将一个电力线网络适配器连接到路由器，然后再插入墙上的插座。电线会将信号传送到另一个插座（在需要更强信号的区域），用户可以在其中插入第二个电源线适配器。

IBM X-Force Red团队的研究人员分析了Tenda PA6 Wi-Fi电力线扩展器（该公司的PH5电力线扩展器套件的一部分），并确定了可能使攻击者完全控制设备的漏洞。

恶意参与者可能利用这些漏洞将设备添加到IoT僵尸网络中，并滥用它来发起DDoS攻击，移至网络上的其他设备，或者滥用它们来挖掘加密货币。

漏洞之一被描述为命令注入问题，经过身份验证的攻击者可以利用该命令来控制电力线适配器。另一个漏洞使经过身份验证的攻击者可以在设备上执行任意代码。

IBM说，可能有可能从Internet远程利用这些漏洞。尽管利用漏洞需要身份验证，但这家科技巨头的研究人员注意到，易受攻击的设备仅受弱默认密码保护。

IBM研究人员发现的第三个安全漏洞是拒绝服务（DoS）漏洞，该漏洞无需身份验证即可被利用，从而导致设备不断重启。

他们还注意到，攻击者可以轻松获取设备的固件映像，其中包括配置数据和其他文件。

根据分配给这些漏洞的CVE标识符，它们在2019年被发现，但似乎未发布任何补丁。IBM表示，它试图将其调查结果报告给腾达，但该供应商没有理会其电话和电子邮件，这就是为什么不清楚该公司是否正在努力发布补丁的原因。