Mastodon Mastodon Mastodon Mastodon

Backdoor en firmware de routers Tenda permite acceso admin remoto

Foto del autor

CyberSecureFox Editorial Team

Publicado:

El CERT Coordination Center (CERT/CC) ha publicado una advertencia sobre un backdoor no documentado en el firmware de varios modelos de routers del fabricante chino Tenda. La vulnerabilidad CVE-2026-11405 permite eludir por completo el mecanismo de autenticación y obtener acceso administrativo a la interfaz web de gestión del dispositivo sin conocer las credenciales válidas. En el momento de la publicación no existe corrección por parte del fabricante, lo que deja todos los dispositivos afectados expuestos.

Mecanismo de funcionamiento del backdoor

Según CERT/CC, el backdoor está integrado directamente en la función login() del servidor web /bin/httpd, responsable de procesar las solicitudes a la interfaz de gestión. El proceso de autenticación estándar utiliza una comprobación de contraseña basada en hashing MD5. Sin embargo, cuando el intento de inicio de sesión falla, se activa una ruta alternativa de ejecución de código.

Esta ruta alternativa realiza las siguientes acciones:

  • Llama a la función GetValue("sys.rzadmin.password"), extrayendo de la configuración del dispositivo el valor de una contraseña oculta
  • Compara la contraseña introducida por el usuario con el valor extraído en texto plano, sin hashing
  • En caso de coincidencia, asigna a la sesión el nivel de acceso administrativo (role=2) con todos los privilegios

Un detalle de importancia crítica: según indica CERT/CC, el nombre de usuario asociado a la cuenta «rzadmin» no se comprueba. Esto significa que cualquier nombre de usuario arbitrario combinado con la contraseña del backdoor permitirá una autenticación correcta. El propio mecanismo de autenticación oculta no aparece en ninguna interfaz administrativa ni se menciona en la documentación.

Versiones de firmware afectadas

De acuerdo con el boletín de CERT/CC, la vulnerabilidad se ha confirmado en las siguientes versiones de firmware:

  • Tenda FH1201 — US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
  • Tenda W15E — US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
  • Tenda AC10 — US_AC10V1.0re_V15.03.06.46_multi_TDE01
  • Tenda AC5 — US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
  • Tenda AC6 — US_AC6V2.0RTL_V15.03.06.51_multi_T

La lista abarca al menos cinco familias diferentes de dispositivos. No se puede descartar que otros modelos con una base de código similar del servidor web también incluyan este backdoor; sin embargo, en las fuentes disponibles no hay datos confirmados al respecto.

Evaluación del impacto

La explotación satisfactoria de CVE-2026-11405 otorga al atacante control administrativo completo sobre el dispositivo. Las posibles consecuencias incluyen:

  • Modificación no autorizada de la configuración del router, incluidas las opciones de DNS y encaminamiento
  • Desactivación de las funciones de seguridad integradas, como el cortafuegos y la filtración de contenido
  • Redirección de tráfico para interceptar datos
  • Uso del dispositivo comprometido como punto de entrada a la red local

Los routers Tenda de las líneas afectadas se utilizan ampliamente en el segmento SOHO (pequeña oficina y uso doméstico). Los dispositivos de esta clase a menudo se emplean sin actualizaciones regulares de firmware y con la gestión remota activada, lo que amplía la superficie de ataque. Cabe señalar que, en el momento de la publicación, aún no se ha asignado una puntuación CVSS a esta vulnerabilidad, y en las fuentes disponibles no hay información sobre explotación confirmada en ataques reales.

Aspectos que suscitan dudas

La naturaleza de la vulnerabilidad merece una atención especial. No se trata de un error de programación —como un buffer overflow o una validación incorrecta de entradas—, sino de un mecanismo alternativo de autenticación implementado de forma deliberada. La existencia de una cuenta separada «rzadmin» con su propio almacén de contraseña en la configuración, la comparación en texto plano y la ausencia de verificación del nombre de usuario apuntan a una decisión de diseño intencionada. Si esto se hizo con fines de depuración, soporte técnico u otros motivos sigue siendo una cuestión abierta mientras no haya un comentario oficial de Tenda. La vulnerabilidad fue descubierta por un investigador anónimo y, según la información disponible, el fabricante no ha ofrecido respuesta.

Recomendaciones de protección

Dado que no existe un parche, la única vía es minimizar la superficie de ataque:

  • Desactive de inmediato la gestión remota (Remote Management / Web Access from WAN) en todos los dispositivos afectados. Esto impedirá la explotación desde Internet
  • Cambie la dirección IP predeterminada de la interfaz LAN del router (normalmente 192.168.0.1 o 192.168.1.1) por una dirección no estándar; así se reducirá la probabilidad de detección por escáneres automatizados
  • Revise los registros del dispositivo en busca de intentos de inicio de sesión sospechosos con nombres de usuario atípicos; esto puede indicar intentos de explotación del backdoor
  • Valore sustituir el dispositivo por un router de un fabricante con una práctica contrastada de publicación de actualizaciones de seguridad, especialmente si el dispositivo se utiliza en un entorno empresarial

Los propietarios de los modelos Tenda afectados deberían partir de la base de que es posible que nunca aparezca un parche: el historial de respuesta de este fabricante ante vulnerabilidades no invita al optimismo. La acción prioritaria es desactivar ahora mismo el acceso remoto a la interfaz web. Para las organizaciones que utilizan estos dispositivos en entornos de producción, una estrategia razonable será planificar la migración a equipos con una política de seguridad transparente y un ciclo de actualizaciones regular.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.