Mastodon Mastodon Mastodon Mastodon

В прошивках маршрутизаторов Tenda обнаружен скрытый бэкдор для административного доступа

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Координационный центр CERT (CERT/CC) опубликовал предупреждение о недокументированном бэкдоре в прошивках нескольких моделей маршрутизаторов китайского производителя Tenda. Уязвимость CVE-2026-11405 позволяет полностью обойти механизм аутентификации и получить административный доступ к веб-интерфейсу управления устройством без знания действующих учётных данных. На момент публикации исправление от производителя отсутствует, что делает все затронутые устройства уязвимыми.

Механизм работы бэкдора

По данным CERT/CC, бэкдор встроен непосредственно в функцию login() веб-сервера /bin/httpd, отвечающего за обработку запросов к интерфейсу управления. Штатный процесс аутентификации использует проверку пароля на основе MD5-хеширования. Однако при неудачной попытке входа активируется альтернативный путь выполнения кода.

Этот альтернативный путь выполняет следующие действия:

  • Вызывает функцию GetValue("sys.rzadmin.password"), извлекая из конфигурации устройства значение скрытого пароля
  • Сравнивает введённый пользователем пароль с извлечённым значением в открытом тексте, без хеширования
  • При совпадении — назначает сессии административный уровень доступа (role=2) с полными привилегиями

Критически важная деталь: как сообщает CERT/CC, имя пользователя, связанное с учётной записью «rzadmin», не проверяется. Это означает, что любое произвольное имя пользователя в сочетании с бэкдор-паролем обеспечит успешную аутентификацию. Сам механизм скрытой аутентификации не отображается ни в одном административном интерфейсе и не упоминается в документации.

Затронутые версии прошивок

Согласно бюллетеню CERT/CC, уязвимость подтверждена в следующих версиях прошивок:

  • Tenda FH1201 — US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
  • Tenda W15E — US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
  • Tenda AC10 — US_AC10V1.0re_V15.03.06.46_multi_TDE01
  • Tenda AC5 — US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
  • Tenda AC6 — US_AC6V2.0RTL_V15.03.06.51_multi_T

Список охватывает как минимум пять различных линеек устройств. Нельзя исключать, что другие модели с аналогичной кодовой базой веб-сервера также содержат этот бэкдор, однако подтверждённых данных об этом в имеющихся источниках нет.

Оценка воздействия

Успешная эксплуатация CVE-2026-11405 предоставляет атакующему полный административный контроль над устройством. Потенциальные последствия включают:

  • Несанкционированное изменение конфигурации маршрутизатора, включая настройки DNS и маршрутизации
  • Отключение встроенных функций безопасности — межсетевого экрана, фильтрации контента
  • Перенаправление трафика для перехвата данных
  • Использование скомпрометированного устройства как точки входа в локальную сеть

Маршрутизаторы Tenda из затронутых линеек широко используются в сегменте SOHO (малый офис и домашнее использование). Устройства этого класса нередко эксплуатируются без регулярного обновления прошивок и с включённым удалённым управлением, что расширяет поверхность атаки. Стоит отметить, что оценка CVSS для данной уязвимости на момент публикации не присвоена, а сведений о подтверждённой эксплуатации в реальных атаках в доступных источниках нет.

Что вызывает вопросы

Характер уязвимости заслуживает отдельного внимания. Речь идёт не об ошибке программирования — переполнении буфера или некорректной валидации ввода, — а о целенаправленно реализованном альтернативном механизме аутентификации. Наличие отдельной учётной записи «rzadmin» с собственным хранилищем пароля в конфигурации, сравнение в открытом тексте и отсутствие проверки имени пользователя указывают на преднамеренное проектное решение. Было ли это сделано для целей отладки, технической поддержки или по иным причинам — без официального комментария Tenda остаётся открытым вопросом. Уязвимость была обнаружена анонимным исследователем, а производитель, по имеющимся данным, не предоставил ответа.

Рекомендации по защите

Поскольку патч отсутствует, единственный путь — минимизация поверхности атаки:

  • Немедленно отключите удалённое управление (Remote Management / Web Access from WAN) на всех затронутых устройствах. Это исключит возможность эксплуатации из интернета
  • Измените стандартный IP-адрес LAN-интерфейса маршрутизатора (обычно 192.168.0.1 или 192.168.1.1) на нестандартный адрес — это снизит вероятность обнаружения автоматизированными сканерами
  • Проверьте журналы устройства на предмет подозрительных попыток входа с нетипичными именами пользователей — это может указывать на попытки эксплуатации бэкдора
  • Рассмотрите замену устройства на маршрутизатор от производителя с подтверждённой практикой выпуска обновлений безопасности, особенно если устройство используется в бизнес-среде

Владельцам затронутых моделей Tenda следует исходить из того, что патч может не появиться вовсе — история реагирования этого производителя на уязвимости не внушает оптимизма. Приоритетное действие — отключение удалённого доступа к веб-интерфейсу прямо сейчас. Для организаций, использующих эти устройства в продуктивной среде, разумной стратегией будет планирование миграции на оборудование с прозрачной политикой безопасности и регулярным циклом обновлений.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.