- Alguns firmwares de equipamentos de rede da Tenda têm um backdoor de autenticação não documentado, permitindo obter privilégios de administrador na interface web de gerenciamento sem credenciais válidas
- CVE-2026-11405 funciona por um fluxo que, após a falha na validação normal da senha, verifica o valor
sys.rzadmin.passwordcomo se fosse uma senha alternativa - Se a senha inserida coincidir com o valor configurado, uma sessão de administrador role=2 é criada sem validação do nome de usuário, levando a uma bypass de autenticação
- O escopo afetado inclui versões específicas de firmware das linhas FH1201, W15E, AC10, AC5 e AC6; se explorado, permite reconfigurar o dispositivo, alterar configurações de rede e desativar recursos de segurança
- Como não há patch disponível, para reduzir a exposição é preciso recorrer a mitigações limitadas, como desativar o gerenciamento web remoto e alterar o IP LAN padrão
Como o backdoor de autenticação funciona e seus riscos
- A Tenda fornece equipamentos de rede para uso doméstico e corporativo, como roteadores, switches, pontos de acesso sem fio e equipamentos de videomonitoramento
- Muitos desses dispositivos oferecem uma interface baseada na web para configuração e gerenciamento, geralmente protegida por nome de usuário e senha
- No binário
/bin/httpddos firmwares vulneráveis, a funçãologin()contém um mecanismo de autenticação por backdoor não documentado- Primeiro, executa a validação de senha baseada em MD5 pelo caminho normal de autenticação
- Se a autenticação falhar, chama
GetValue("sys.rzadmin.password")para obter o valor de senha alternativa nas configurações do dispositivo - Em seguida, compara diretamente a senha inserida pelo usuário com o valor armazenado na configuração usando
strcmp()em texto puro - Se os valores coincidirem, concede privilégios de administrador
role=2e cria uma sessão válida
- Nesse caminho, a validação do nome de usuário está ausente
- Qualquer nome de usuário resulta em autenticação bem-sucedida se for enviado junto com a senha do backdoor
- Esse mecanismo de autenticação não é documentado e não aparece na interface de gerenciamento
- Se a exploração for bem-sucedida, é possível obter acesso administrativo completo à interface web do dispositivo, independentemente das credenciais da conta de administrador configurada
- Permite reconfigurar o dispositivo
- Permite alterar configurações de rede
- Permite desativar recursos de segurança
- Pode levar a um comprometimento mais amplo da rede local
Firmwares afetados e resposta atual
- Versões de firmware afetadas:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
- A coordenação da vulnerabilidade com o fornecedor falhou, portanto nenhum patch foi disponibilizado
- Mitigações possíveis até que uma versão corrigida seja lançada:
- Desativar o gerenciamento remoto
- Se o dispositivo oferecer gerenciamento web remoto, esse recurso deve ser desativado
- Isso pode impedir que atacantes em redes externas acessem o painel de gerenciamento do dispositivo pela internet
- Limitar a exposição na rede local
- Alterar o endereço IP LAN padrão pode reduzir a descoberta oportunista por scanners automatizados que miram faixas de IP padrão conhecidas
- Essa medida não impede varreduras de rede intencionais ou direcionadas
- Desativar o gerenciamento remoto
- Identificadores e materiais de referência relacionados:
1 comentários
Comentários do Hacker News
O texto não mostra o valor de
sys.rzadmin.password, mas ele foi divulgado numa análise de 2022: https://boschko.ca/tenda_ac1200_router/Spoiler: o valor é rzadmin, e aparentemente há várias outras coisas interessantes dentro do firmware
Se fosse uma backdoor, pelo menos teriam tentado ser mais discretos :)
rzé uma abreviação comum de RechenZentrum, ou seja, datacenter, em países de língua alemã, então soa como alemãoEm inglês, seria algo como
dcadmin. Dá até para imaginar que terceirizaram isso para o pessoal do “gute Deutsche Wertarbeit”, ou que há sinal de alguma instituição tirando proveito, ou talvez só uma cortina de fumaçaEu não conhecia bem a Tenda, mas ela aparece como fornecedora de roteadores, switches, APs sem fio e equipamentos de vigilância por vídeo para uso doméstico e empresarial, e a apresentação da empresa está em https://www.tendacn.com/us/profile
Entre marcas chinesas, é comum haver casos em que só mudam o exterior usando os mesmos componentes internos, ou fazem rebranding para parecer uma marca concorrente, então imagino que a Tenda também possa fazer isso. Já vi isso no setor de câmeras de segurança
Eu gostaria que os autores tivessem fornecido também um método para verificar a vulnerabilidade, e não só as versões de firmware. Porque a Tenda pode simplesmente trocar a senha e dizer “agora está seguro”
Ainda devo ter em algum armário uns adaptadores Ethernet via rede elétrica que comprei dela há uns 10 anos. Na época, ter senha de administrador
adminera quase padrão, e muitas vezes vinha até impressa no próprio dispositivoNão parece ser algo como uma estatal, então imagino que seja menos uma intenção super maligna e mais um caso de realmente não ligarem para qualidade
“Como o nome de usuário conectado não é validado, qualquer nome de usuário funciona junto com a senha da backdoor”, impressionante
Não sei por que clientes deveriam confiar num fabricante desses. A essa altura, acho que nunca mais usaria roteadores com firmware caixa-preta fornecido pelo fabricante
Antes de usar, eu sempre instalaria algo como OpenWRT, e se isso não fosse possível por qualquer motivo, eu nem cogitaria comprar esse equipamento
Em lugares como conjuntos de apartamentos, onde as redes sem fio ficam cheias e congestionadas, esses recursos são importantes para garantir cobertura, intensidade de sinal e throughput. Fico curioso se o pessoal do OpenWRT encontrou algum contorno, ou se os fabricantes passaram a colaborar mais com drivers abertos para firmware carregável
E aí inevitavelmente a eficiência energética fica bem pior do que a de equipamentos com chip de switch dedicado
É impressionante como empresas de equipamentos de rede conseguem produzir lixo de forma tão consistente
E sempre com backdoors que parecem coisa de amador. Se ao menos fossem sofisticadas, ainda daria para pensar “alguma agência de segurança deve ter pedido isso”
Ou pode ser que tenham sido colocadas de propósito nesse nível amador para serem encontradas
Na verdade isso até é uma boa notícia. Tenho alguns roteadores Cube da Tenda, que na prática são quase repetidores WiFi com um pouco de função mesh, e sempre odiei o quanto o firmware é amarrado ao app
Agora, com acesso root, vai ficar muito mais fácil contornar o app, e também desativar o mecanismo de ping que fica mandando consultas DNS para
microsoft.comsó para manter o indicador verde acesoSinceramente, isso me parece menos uma “backdoor” em sentido malicioso e mais credenciais de acesso de desenvolvedor ou credenciais padrão embutidas no firmware. Provavelmente o fluxo era manter o código, mas randomizar a chave no processo de produção para que ficasse impossível adivinhar; só que deixaram de rodar essa etapa extra por preguiça, ou gravaram o firmware original sem a configuração de produção e isso acabou vazando
rzadmin. Os cientistas estão perplexosPor isso eu monto meu próprio roteador/firewall com hardware genérico e uma distribuição Linux
ipchains. Na época, era a única forma de ter um roteador sem gastar uma fortunaSó depois surgiram os roteadores para consumidor/prosumer, então no fim das contas o velho acabou virando novo de novo
Na época em que o Wi‑Fi de hotel parecia um bicho estranho, cheguei a usar um produto de Wi‑Fi de viagem da Tenda
Hoje, com eSIM e planos de internet de viagem amplamente disponíveis, o Wi‑Fi de hotel talvez seja justamente a forma de conexão menos confiável, então provavelmente não há mais tanta necessidade
Também tenho um equipamento da Mikrotik que ganhei de brinde na mesma faixa de preço; ele é fisicamente menor e roda algo que parece mais um código principal. Pode-se falar o que quiser da qualidade da Mikrotik, mas ela realmente oferece quase todos os controles de configuração que você poderia querer
Todos os usuários ficam cada um em sua própria VLAN, e cada quarto usa um PPSK separado. As credenciais também não seguem um padrão ridículo como sobrenome+número do quarto, e sim são geradas aleatoriamente. Também criamos nosso próprio sistema de controle de acesso e usamos o MIFARE DESFire EV3, que era o cartão-chave mais forte que conseguimos encontrar na época. Estou realmente tentando construir um hotel em que a segurança não pareça uma piada
Claro, EUA/Israel jamais fariam algo assim, então é só comprar UniFi/Fortinet/Palo Alto!
Ex.: https://www.thestack.technology/cisco-hard-coding-passwords-...
Meu
ifconfigé simples. Se foi feito em Shenzhen, eu jogo foraO hardware/firmware recente da Tenda aparentemente está criptografado, como nos exemplos abaixo, o que dificulta ainda mais a auditoria
No
binwalk,US_AC10V6.0si_V16.03.62.09_multi_TDE01.bineUS_BE12ProV1.0mt_V16.03.66.23_TD01.binapareciam com criptografia OpenSSLO terceiro que testei,
US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin, não estava criptografado, o que mostra que outros modelos fora da lista de afetados por este CVE também podem ter o problema. Em/squashfs-root/webroot_ro/default_ac.cfgedefault_router.cfgdentro dele, hásys.rzadmin.username=rzadmin,sys.rzadmin.password=cnphZG1pbg==, que em Base64 virarzadmin. Também apareceguest/guestPelo que vi rapidamente,
sys.rzadmin.passwordsó é referenciado no contexto em que a funçãologin()de/bin/httpdbusca e compara o valor, e, se estiver errado, aparece"login err: password is wrong.". Não consegui encontrar, em nenhuma parte do firmware, referência de código que permita ao usuário alterar esse valor padrãoComo extra,
imsd_upload_log_v1em/bin/imsdcoleta SSID, endereços MAC, IP,sys.admin.username,sys.rzadmin.usernamee fuso horário, eimsd_remote_pwd_getobtémsys.admin.password. A biblioteca relacionada/lib/lubucapi.sotambém parece um binário que vale examinar melhor, e aparenta conter um conjunto de comandos que permite gerenciamento em nuvem ou depuração remota de roteadores Tenda, o que também pode explicar por que/bin/imsdtemimsd_remote_pwd_get