
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
W wybranych wersjach firmware routerów Tenda wykryto ukryty mechanizm uwierzytelniania, który może działać jak administracyjny backdoor. Podatność oznaczona jako CVE-2026-11405 dotyczy procesu logowania do panelu WWW i pozwala uzyskać uprawnienia administratora nawet bez znajomości właściwych danych logowania ustawionych przez użytkownika.
To szczególnie groźny typ luki, ponieważ podważa podstawowe założenia kontroli dostępu na urządzeniach brzegowych. W praktyce oznacza to, że bezpieczeństwo routera może zostać naruszone nie przez słabe hasło, lecz przez samą logikę zaimplementowaną w oprogramowaniu urządzenia.
W skrócie
Problem obejmuje wybrane modele routerów Tenda i konkretne wersje ich oprogramowania. Według opisu technicznego mechanizm znajduje się w funkcji logowania serwera HTTP urządzenia i po nieudanym standardowym uwierzytelnieniu wykonuje dodatkowe sprawdzenie alternatywnego sekretu zapisanego w konfiguracji.
- podatność została opisana jako CVE-2026-11405,
- dotyczy panelu administracyjnego WWW,
- umożliwia uzyskanie pełnych uprawnień administratora,
- nie wymaga znajomości prawidłowej nazwy użytkownika,
- brak poprawki w momencie ujawnienia zwiększa ryzyko dla organizacji i użytkowników domowych.
Kontekst / historia
Luki bezpieczeństwa w routerach SOHO i SMB od lat należą do najpoważniejszych zagrożeń dla małych firm i użytkowników domowych. Urządzenia te często pozostają wystawione na internet, są aktualizowane rzadziej niż systemy końcowe i nierzadko działają przez długi czas bez regularnych przeglądów bezpieczeństwa.
W tym przypadku badacz zgłosił problem do CERT Coordination Center, które opublikowało ostrzeżenie po analizie mechanizmu obecnego w firmware. Zakres podatności obejmuje wskazane wersje oprogramowania dla modeli Tenda FH1201, W15E, AC10, AC5 oraz AC6 V2. Szczególnie niepokojące jest to, że alternatywna ścieżka logowania nie była udokumentowana w interfejsie administracyjnym ani w publicznie dostępnej dokumentacji.
Analiza techniczna
Pod względem technicznym podatność dotyczy komponentu /bin/httpd, a dokładniej funkcji login() odpowiedzialnej za uwierzytelnianie do panelu zarządzania. Standardowy proces logowania wykorzystuje mechanizm weryfikacji hasła oparty na MD5. Problem pojawia się jednak wtedy, gdy standardowe sprawdzenie kończy się niepowodzeniem.
W drugim etapie firmware uruchamia dodatkową, nieudokumentowaną logikę. System pobiera wartość konfiguracyjną sys.rzadmin.password i porównuje ją bezpośrednio z hasłem przesłanym przez użytkownika. Jeśli wartości są zgodne, urządzenie tworzy prawidłową sesję administracyjną i przypisuje rolę administratora.
Kluczowe znaczenie ma fakt, że nazwa użytkownika nie odgrywa tu praktycznie żadnej roli. W efekcie dowolna wartość loginu może zostać zaakceptowana, jeśli zgadza się alternatywne hasło. Z perspektywy bezpieczeństwa oznacza to obejście właściwego mechanizmu uwierzytelniania i utworzenie pełnoprawnej ukrytej ścieżki dostępu do panelu zarządzania.
Konsekwencje / ryzyko
Skuteczne wykorzystanie podatności daje napastnikowi pełną kontrolę administracyjną nad routerem. Otwiera to drogę do zmiany konfiguracji sieci, osłabienia mechanizmów ochronnych oraz przygotowania środowiska do dalszych działań ofensywnych wymierzonych w użytkowników i urządzenia w sieci lokalnej.
- zmiana serwerów DNS i przekierowanie ruchu ofiar,
- modyfikacja reguł NAT, routingu i filtrowania,
- wyłączenie zabezpieczeń i osłabienie segmentacji sieci,
- utworzenie trwałego dostępu administracyjnego,
- wykorzystanie routera jako punktu wejścia do dalszej kompromitacji,
- włączenie urządzenia do botnetu lub infrastruktury pośredniczącej.
Największe ryzyko dotyczy urządzeń, których panel administracyjny jest dostępny z internetu. Nawet bez publicznie potwierdzonej aktywnej eksploatacji tego rodzaju luka jest bardzo atrakcyjna dla operatorów botnetów, skanerów masowych i grup nastawionych na szybkie przejmowanie urządzeń brzegowych.
Rekomendacje
Najważniejszym działaniem ochronnym jest wyłączenie zdalnego zarządzania przez interfejs WWW, jeśli funkcja ta pozostaje aktywna. Dostęp administracyjny powinien być ograniczony wyłącznie do zaufanej sieci zarządzającej albo realizowany przez tunel VPN.
- sprawdzić, czy używany model i wersja firmware należą do listy podatnych,
- monitorować komunikaty producenta, CERT oraz baz CVE pod kątem aktualizacji i obejść,
- ograniczyć dostęp do panelu administracyjnego przy użyciu ACL, firewalla lub segmentacji,
- zweryfikować ustawienia DNS, routingu i kont administracyjnych pod kątem nieautoryzowanych zmian,
- prowadzić monitoring logów, ruchu wychodzącego i zmian konfiguracji urządzeń brzegowych,
- rozważyć wymianę sprzętu, jeśli poprawka nie zostanie udostępniona w akceptowalnym czasie.
W środowiskach firmowych routery powinny być objęte takim samym procesem zarządzania podatnościami jak serwery, stacje robocze i urządzenia końcowe. Brak regularnych przeglądów firmware oraz ekspozycja paneli administracyjnych nadal pozostają jednymi z najczęściej lekceważonych obszarów bezpieczeństwa infrastruktury.
Podsumowanie
CVE-2026-11405 pokazuje, jak poważnym zagrożeniem mogą być ukryte mechanizmy uwierzytelniania w firmware urządzeń sieciowych. W podatnych routerach Tenda alternatywna ścieżka logowania pozwala obejść standardową kontrolę dostępu i uzyskać pełne uprawnienia administratora.
W sytuacji braku poprawki kluczowe znaczenie mają działania tymczasowe: wyłączenie zdalnego panelu WWW, ograniczenie ekspozycji interfejsu zarządzającego oraz dokładny przegląd konfiguracji urządzeń. Dla organizacji i użytkowników indywidualnych to kolejny sygnał, że bezpieczeństwo firmware routerów powinno być traktowane jako krytyczny element ochrony sieci.
Źródła
- BleepingComputer – Hidden backdoor in Tenda router firmware grants admin access
https://www.bleepingcomputer.com/news/security/hidden-backdoor-in-tenda-router-firmware-grants-admin-access/ - CERT/CC – Vulnerability Note for CVE-2026-11405
https://kb.cert.org/vuls/id/ - NVD – CVE-2026-11405
https://nvd.nist.gov/vuln/detail/CVE-2026-11405