Mastodon Mastodon Mastodon Mastodon

Backdoor in Tenda-Firmware öffnet Admin-Zugang ohne Login

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Das CERT Coordination Center (CERT/CC) hat eine Warnung zu einem undokumentierten Backdoor in den Firmware-Versionen mehrerer Router-Modelle des chinesischen Herstellers Tenda veröffentlicht. Die Schwachstelle CVE-2026-11405 erlaubt es, den Authentifizierungsmechanismus vollständig zu umgehen und administrativen Zugriff auf das Web-Interface zur Geräteverwaltung zu erhalten, ohne die gültigen Zugangsdaten zu kennen. Zum Zeitpunkt der Veröffentlichung steht kein Patch des Herstellers zur Verfügung, wodurch alle betroffenen Geräte verwundbar bleiben.

Funktionsweise des Backdoors

Nach Angaben von CERT/CC ist der Backdoor direkt in die Funktion login() des Webservers /bin/httpd eingebaut, die für die Verarbeitung von Anfragen an das Management-Interface zuständig ist. Der reguläre Authentifizierungsprozess verwendet eine Passwortprüfung auf Basis von MD5-Hashing. Bei einem fehlgeschlagenen Login-Versuch wird jedoch ein alternativer Codepfad aktiviert.

Dieser alternative Codepfad führt folgende Schritte aus:

  • Er ruft die Funktion GetValue("sys.rzadmin.password") auf und liest aus der Gerätekonfiguration den Wert eines versteckten Passworts aus
  • Er vergleicht das vom Nutzer eingegebene Passwort mit dem ausgelesenen Wert im Klartext, ohne Hashing
  • Bei Übereinstimmung weist er der Session die administrative Zugriffsebene (role=2) mit vollen Rechten zu

Ein kritischer Punkt: Wie CERT/CC berichtet, wird der Benutzername, der mit dem Konto „rzadmin“ verknüpft ist, nicht überprüft. Das bedeutet, dass jeder beliebige Benutzername in Kombination mit dem Backdoor-Passwort eine erfolgreiche Authentifizierung ermöglicht. Der Mechanismus der versteckten Authentifizierung erscheint in keinem administrativen Interface und wird in der Dokumentation nicht erwähnt.

Betroffene Firmware-Versionen

Dem CERT/CC-Bulletin zufolge ist die Schwachstelle in folgenden Firmware-Versionen bestätigt:

  • Tenda FH1201 — US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
  • Tenda W15E — US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
  • Tenda AC10 — US_AC10V1.0re_V15.03.06.46_multi_TDE01
  • Tenda AC5 — US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
  • Tenda AC6 — US_AC6V2.0RTL_V15.03.06.51_multi_T

Die Liste umfasst mindestens fünf verschiedene Geräteserien. Es ist nicht auszuschließen, dass weitere Modelle mit ähnlicher Codebasis des Webservers diesen Backdoor ebenfalls enthalten. Bestätigte Hinweise darauf liegen in den verfügbaren Quellen jedoch nicht vor.

Bewertung der Auswirkungen

Die erfolgreiche Ausnutzung von CVE-2026-11405 verschafft Angreifern die vollständige administrative Kontrolle über das Gerät. Mögliche Folgen umfassen:

  • Unbefugte Änderung der Router-Konfiguration, einschließlich DNS- und Routing-Einstellungen
  • Deaktivierung integrierter Sicherheitsfunktionen wie Firewall und Inhaltsfilterung
  • Umleitung des Datenverkehrs zum Abfangen von Informationen
  • Nutzung des kompromittierten Geräts als Einstiegspunkt in das lokale Netzwerk

Router der betroffenen Tenda-Serien werden häufig im SOHO-Segment (Small Office/Home Office) eingesetzt. Geräte dieser Klasse werden oft ohne regelmäßige Firmware-Updates betrieben und mit aktiviertem Remote Management, was die Angriffsfläche vergrößert. Zu beachten ist, dass für diese Schwachstelle zum Zeitpunkt der Veröffentlichung noch kein CVSS-Score vergeben wurde und in den verfügbaren Quellen keine Angaben zu bestätigten Angriffen in realen Szenarien vorliegen.

Offene Fragen

Die Art der Schwachstelle verdient besondere Beachtung. Es handelt sich nicht um einen Programmierfehler — etwa ein buffer overflow oder eine fehlerhafte Eingabevalidierung —, sondern um einen gezielt implementierten alternativen Authentifizierungsmechanismus. Die Existenz eines separaten Kontos „rzadmin“ mit eigenem Passwortspeicher in der Konfiguration, der Vergleich im Klartext und das Fehlen einer Überprüfung des Benutzernamens deuten auf eine bewusste Designentscheidung hin. Ob dies zu Zwecken des Debuggings, für den technischen Support oder aus anderen Gründen implementiert wurde, bleibt ohne offizielle Stellungnahme von Tenda offen. Die Schwachstelle wurde von einem anonymen Forscher entdeckt, und der Hersteller hat nach vorliegenden Informationen keine Antwort gegeben.

Empfohlene Schutzmaßnahmen

Da kein Patch verfügbar ist, besteht die einzige Möglichkeit darin, die Angriffsfläche zu minimieren:

  • Deaktivieren Sie umgehend das Remote Management (Remote Management / Web Access from WAN) auf allen betroffenen Geräten. Dadurch wird eine Ausnutzung aus dem Internet verhindert
  • Ändern Sie die Standard-IP-Adresse des LAN-Interfaces des Routers (typischerweise 192.168.0.1 oder 192.168.1.1) auf eine nicht standardmäßige Adresse — das senkt die Wahrscheinlichkeit der Auffindbarkeit durch automatisierte Scanner
  • Überprüfen Sie die Geräte-Logs auf verdächtige Login-Versuche mit untypischen Benutzernamen — dies kann auf Versuche zur Ausnutzung des Backdoors hinweisen
  • Ziehen Sie einen Geräteaustausch in Betracht und wechseln Sie auf einen Router eines Herstellers mit nachweislich verlässlicher Veröffentlichung von Sicherheitsupdates, insbesondere wenn das Gerät in einer geschäftlichen Umgebung genutzt wird

Besitzer der betroffenen Tenda-Modelle sollten davon ausgehen, dass ein Patch möglicherweise überhaupt nicht erscheinen wird — die bisherige Reaktion dieses Herstellers auf Sicherheitslücken ist wenig ermutigend. Vorrangig ist daher, den entfernten Zugriff auf das Web-Interface sofort zu deaktivieren. Für Organisationen, die diese Geräte in produktiven Umgebungen einsetzen, ist eine geplante Migration auf Hardware mit transparenter Sicherheitspolitik und regelmäßigem Update-Zyklus eine sinnvolle Strategie.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.