CERT/CC ostrzega przed ukrytą furtką administracyjną w firmware routerów Tenda - Security Bez Tabu

CERT/CC ostrzega przed ukrytą furtką administracyjną w firmware routerów Tenda

Cybersecurity news

Wprowadzenie do problemu / definicja

CERT/CC opublikował ostrzeżenie dotyczące podatności w oprogramowaniu układowym wybranych routerów Tenda, która umożliwia obejście standardowego procesu logowania do panelu administracyjnego. Problem ma charakter backdoora uwierzytelniającego, czyli ukrytego mechanizmu pozwalającego uzyskać uprawnienia administracyjne bez znajomości właściwych danych dostępowych administratora.

W skrócie

Podatność została zidentyfikowana jako CVE-2026-11405 i dotyczy kilku wersji firmware urządzeń Tenda. Mechanizm logowania zawiera alternatywną ścieżkę uwierzytelnienia, która po nieudanym standardowym sprawdzeniu hasła porównuje podane hasło z dodatkową wartością przechowywaną w konfiguracji urządzenia. Jeśli wartości są zgodne, system przyznaje pełny dostęp administracyjny.

Istotnym elementem problemu jest brak ścisłego powiązania tej ścieżki z konkretną nazwą użytkownika. W praktyce oznacza to, że skuteczny atak może wymagać wyłącznie poznania lub odgadnięcia sekretu wykorzystywanego przez ukryty mechanizm. W momencie publikacji ostrzeżenia nie była dostępna poprawka.

Kontekst / historia

Bezpieczeństwo routerów konsumenckich i urządzeń brzegowych klasy SOHO od lat pozostaje słabym punktem wielu środowisk domowych i małych firm. Urządzenia te często działają przez długi czas bez aktualizacji, bywają wystawione do internetu przez funkcje zdalnego zarządzania i nierzadko pozostają poza formalnym procesem zarządzania podatnościami.

W opisywanym przypadku ostrzeżenie obejmuje kilka konkretnych obrazów firmware, w tym warianty dla modeli FH1201, W15E, AC10, AC5 oraz AC6. Charakter podatności jest szczególnie niepokojący, ponieważ nie chodzi wyłącznie o błąd logiczny lub pomyłkę implementacyjną, ale o obecność niedokumentowanego mechanizmu dostępu w komponencie odpowiedzialnym za logowanie.

Analiza techniczna

Technicznie problem został zlokalizowany w funkcji login() w binarium /bin/httpd, czyli w module obsługującym interfejs WWW routera. Standardowa ścieżka logowania korzysta z weryfikacji hasła opartej na MD5, jednak po nieudanym sprawdzeniu kod przechodzi do dodatkowej logiki uwierzytelniania.

Alternatywna ścieżka pobiera wartość sys.rzadmin.password z konfiguracji urządzenia i porównuje ją bezpośrednio z hasłem dostarczonym podczas logowania. Jeżeli porównanie zakończy się powodzeniem, aplikacja tworzy sesję z uprawnieniami administratora i przypisuje użytkownikowi rolę uprzywilejowaną.

Najważniejszą cechą tej podatności jest brak realnej walidacji nazwy użytkownika powiązanej z mechanizmem awaryjnego lub ukrytego dostępu. Z perspektywy bezpieczeństwa oznacza to istnienie osobnego kanału autoryzacji osadzonego w serwerze WWW urządzenia. Jeżeli panel administracyjny jest osiągalny z sieci lokalnej lub z internetu, atakujący może potencjalnie przejąć pełną kontrolę nad konfiguracją routera.

Konsekwencje / ryzyko

Skuteczne wykorzystanie CVE-2026-11405 może prowadzić do całkowitej kompromitacji urządzenia. Uzyskanie dostępu administracyjnego pozwala zmieniać ustawienia sieciowe, manipulować ruchem, wyłączać funkcje ochronne i utrzymywać trwałą obecność w środowisku.

  • zmiana konfiguracji DNS i przekierowywanie ruchu użytkowników,
  • modyfikacja ustawień NAT, sieci bezprzewodowej i usług zarządzania,
  • podsłuch lub przechwytywanie części ruchu sieciowego,
  • wykorzystanie routera jako punktu pośredniego do dalszych ataków,
  • włączenie urządzenia do botnetu lub infrastruktury złośliwych operacji.

Najwyższy poziom ryzyka dotyczy urządzeń z aktywnym zdalnym zarządzaniem, publicznie dostępnym interfejsem administracyjnym albo konfiguracją ułatwiającą automatyczne wykrywanie przez skanery. Brak dostępnej poprawki zwiększa znaczenie działań ograniczających powierzchnię ataku.

Rekomendacje

Administratorzy oraz użytkownicy powinni jak najszybciej ustalić, czy używane urządzenia Tenda pracują na podatnych wersjach firmware. Do czasu wydania oficjalnych poprawek kluczowe jest wdrożenie środków kompensacyjnych.

  • wyłączyć zdalne zarządzanie z internetu,
  • ograniczyć dostęp do panelu administracyjnego wyłącznie do zaufanych segmentów sieci,
  • zmienić domyślny adres IP sieci LAN, aby utrudnić automatyczne wykrywanie urządzenia,
  • monitorować logi oraz ruch administracyjny pod kątem nietypowych prób logowania,
  • zweryfikować integralność konfiguracji, szczególnie ustawień DNS, NAT i kont administracyjnych,
  • regularnie sprawdzać komunikaty producenta oraz zespołów reagowania,
  • rozważyć wymianę urządzenia, jeśli poprawka nie pojawi się w rozsądnym czasie.

W środowiskach firmowych warto dodatkowo objąć routery brzegowe regularną inwentaryzacją firmware, skanowaniem ekspozycji oraz kontrolą konfiguracji zgodnie z polityką hardeningu. Nawet urządzenia z segmentu SOHO powinny być traktowane jako istotny element programu zarządzania podatnościami.

Podsumowanie

Sprawa CVE-2026-11405 pokazuje, że krytyczne zagrożenia w urządzeniach sieciowych mogą wynikać nie tylko z przypadkowych błędów, ale również z obecności ukrytych mechanizmów dostępu osadzonych w firmware. W przypadku wskazanych routerów Tenda podatność umożliwia obejście logowania i uzyskanie pełnych uprawnień administracyjnych, co nadaje jej wysokie znaczenie operacyjne.

Do czasu opublikowania poprawek najważniejsze pozostaje ograniczenie dostępności interfejsu zarządzania, przegląd konfiguracji i bieżące monitorowanie komunikatów bezpieczeństwa. Dla wielu organizacji może to być również sygnał do ponownej oceny zaufania do urządzeń brzegowych używanych poza centralnym systemem nadzoru.

Źródła

  1. CERT/CC Warns of Hidden Admin Backdoor in Tenda Router Firmware — https://thehackernews.com/2026/07/certcc-warns-of-hidden-admin-backdoor.html
  2. CVE-2026-11405 — https://www.cve.org/CVERecord?id=CVE-2026-11405
  3. CERT Vulnerability Note Database — https://kb.cert.org/