Координаційний центр CERT (CERT/CC) оприлюднив попередження про недокументований бекдор у прошивках кількох моделей маршрутизаторів китайського виробника Tenda. Вразливість CVE-2026-11405 дозволяє повністю обійти механізм автентифікації та отримати адміністративний доступ до веб-інтерфейсу керування пристроєм без знання чинних облікових даних. На момент публікації виправлення від виробника відсутнє, що робить усі задіяні пристрої вразливими.
Механізм роботи бекдору
За даними CERT/CC, бекдор вбудований безпосередньо у функцію login() веб-сервера /bin/httpd, який відповідає за обробку запитів до інтерфейсу керування. Штатний процес автентифікації використовує перевірку пароля на основі MD5-хешування. Однак у разі невдалої спроби входу активується альтернативний шлях виконання коду.
Цей альтернативний шлях виконує такі дії:
- Викликає функцію
GetValue("sys.rzadmin.password"), витягуючи з конфігурації пристрою значення прихованого пароля - Порівнює введений користувачем пароль із отриманим значенням у відкритому тексті, без хешування
- У разі збігу — призначає сесії адміністративний рівень доступу (role=2) з повними привілеями
Критично важлива деталь: як повідомляє CERT/CC, ім’я користувача, пов’язане з обліковим записом «rzadmin», не перевіряється. Це означає, що будь-яке довільне ім’я користувача в поєднанні з бекдор-паролем забезпечить успішну автентифікацію. Сам механізм прихованої автентифікації не відображається в жодному адміністративному інтерфейсі й не згадується в документації.
Уражені версії прошивок
Згідно з бюлетенем CERT/CC, вразливість підтверджена в таких версіях прошивок:
- Tenda FH1201 — US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
- Tenda W15E — US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
- Tenda AC10 — US_AC10V1.0re_V15.03.06.46_multi_TDE01
- Tenda AC5 — US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
- Tenda AC6 — US_AC6V2.0RTL_V15.03.06.51_multi_T
Список охоплює щонайменше п’ять різних лінійок пристроїв. Не можна виключати, що інші моделі з аналогічною кодовою базою веб-сервера також містять цей бекдор, однак підтверджених даних про це в наявних джерелах немає.
Оцінка впливу
Успішна експлуатація CVE-2026-11405 надає зловмиснику повний адміністративний контроль над пристроєм. Потенційні наслідки включають:
- Несанкціоновану зміну конфігурації маршрутизатора, зокрема налаштувань DNS і маршрутизації
- Вимкнення вбудованих функцій безпеки — мережевого екрана, фільтрації контенту
- Перенаправлення трафіку для перехоплення даних
- Використання скомпрометованого пристрою як точки входу до локальної мережі
Маршрутизатори Tenda із зазначених лінійок широко використовуються в сегменті SOHO (малий офіс і домашнє використання). Пристрої цього класу нерідко експлуатуються без регулярного оновлення прошивок і з увімкненим віддаленим керуванням, що розширює поверхню атаки. Варто зазначити, що оцінку CVSS для цієї вразливості станом на публікацію ще не присвоєно, а відомостей про підтверджену експлуатацію в реальних атаках в доступних джерелах немає.
Що викликає запитання
Характер вразливості заслуговує на окрему увагу. Йдеться не про помилку програмування — переповнення буфера чи некоректну валідацію введення, — а про цілеспрямовано реалізований альтернативний механізм автентифікації. Наявність окремого облікового запису «rzadmin» із власним сховищем пароля в конфігурації, порівняння у відкритому тексті та відсутність перевірки імені користувача свідчать про навмисне проєктне рішення. Чи було це зроблено для цілей налагодження, технічної підтримки чи з інших причин — без офіційного коментаря Tenda це питання залишається відкритим. Вразливість виявив анонімний дослідник, а виробник, за наявними даними, не надав відповіді.
Рекомендації щодо захисту
Оскільки патч відсутній, єдиний шлях — мінімізувати поверхню атаки:
- Негайно вимкніть віддалене керування (Remote Management / Web Access from WAN) на всіх уражених пристроях. Це унеможливить експлуатацію з інтернету
- Змініть стандартну IP-адресу LAN-інтерфейсу маршрутизатора (зазвичай 192.168.0.1 або 192.168.1.1) на нестандартну адресу — це зменшить імовірність виявлення автоматизованими сканерами
- Перевірте журнали пристрою на наявність підозрілих спроб входу з нетиповими іменами користувачів — це може свідчити про спроби експлуатації бекдору
- Розгляньте заміну пристрою на маршрутизатор від виробника з підтвердженою практикою випуску оновлень безпеки, особливо якщо пристрій використовується в бізнес-середовищі
Власникам уражених моделей Tenda варто виходити з того, що патч може так і не з’явитися — історія реагування цього виробника на вразливості не додає оптимізму. Пріоритетна дія — вимкнення віддаленого доступу до веб-інтерфейсу просто зараз. Для організацій, які використовують ці пристрої в продуктивному середовищі, доцільною стратегією буде планування міграції на обладнання з прозорою політикою безпеки та регулярним циклом оновлень.