1 pontos por GN⁺ 4 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Alguns firmwares de equipamentos de rede da Tenda têm um backdoor de autenticação não documentado, permitindo obter privilégios de administrador na interface web de gerenciamento sem credenciais válidas
  • CVE-2026-11405 funciona por um fluxo que, após a falha na validação normal da senha, verifica o valor sys.rzadmin.password como se fosse uma senha alternativa
  • Se a senha inserida coincidir com o valor configurado, uma sessão de administrador role=2 é criada sem validação do nome de usuário, levando a uma bypass de autenticação
  • O escopo afetado inclui versões específicas de firmware das linhas FH1201, W15E, AC10, AC5 e AC6; se explorado, permite reconfigurar o dispositivo, alterar configurações de rede e desativar recursos de segurança
  • Como não há patch disponível, para reduzir a exposição é preciso recorrer a mitigações limitadas, como desativar o gerenciamento web remoto e alterar o IP LAN padrão

Como o backdoor de autenticação funciona e seus riscos

  • A Tenda fornece equipamentos de rede para uso doméstico e corporativo, como roteadores, switches, pontos de acesso sem fio e equipamentos de videomonitoramento
  • Muitos desses dispositivos oferecem uma interface baseada na web para configuração e gerenciamento, geralmente protegida por nome de usuário e senha
  • No binário /bin/httpd dos firmwares vulneráveis, a função login() contém um mecanismo de autenticação por backdoor não documentado
    • Primeiro, executa a validação de senha baseada em MD5 pelo caminho normal de autenticação
    • Se a autenticação falhar, chama GetValue("sys.rzadmin.password") para obter o valor de senha alternativa nas configurações do dispositivo
    • Em seguida, compara diretamente a senha inserida pelo usuário com o valor armazenado na configuração usando strcmp() em texto puro
    • Se os valores coincidirem, concede privilégios de administrador role=2 e cria uma sessão válida
  • Nesse caminho, a validação do nome de usuário está ausente
    • Qualquer nome de usuário resulta em autenticação bem-sucedida se for enviado junto com a senha do backdoor
    • Esse mecanismo de autenticação não é documentado e não aparece na interface de gerenciamento
  • Se a exploração for bem-sucedida, é possível obter acesso administrativo completo à interface web do dispositivo, independentemente das credenciais da conta de administrador configurada
    • Permite reconfigurar o dispositivo
    • Permite alterar configurações de rede
    • Permite desativar recursos de segurança
    • Pode levar a um comprometimento mais amplo da rede local

Firmwares afetados e resposta atual

  • Versões de firmware afetadas:
    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • A coordenação da vulnerabilidade com o fornecedor falhou, portanto nenhum patch foi disponibilizado
  • Mitigações possíveis até que uma versão corrigida seja lançada:
    • Desativar o gerenciamento remoto
      • Se o dispositivo oferecer gerenciamento web remoto, esse recurso deve ser desativado
      • Isso pode impedir que atacantes em redes externas acessem o painel de gerenciamento do dispositivo pela internet
    • Limitar a exposição na rede local
      • Alterar o endereço IP LAN padrão pode reduzir a descoberta oportunista por scanners automatizados que miram faixas de IP padrão conhecidas
      • Essa medida não impede varreduras de rede intencionais ou direcionadas
  • Identificadores e materiais de referência relacionados:

1 comentários

 
GN⁺ 4 시간 전
Comentários do Hacker News
  • O texto não mostra o valor de sys.rzadmin.password, mas ele foi divulgado numa análise de 2022: https://boschko.ca/tenda_ac1200_router/
    Spoiler: o valor é rzadmin, e aparentemente há várias outras coisas interessantes dentro do firmware

    • Nesse ponto, parece menos uma backdoor e mais uma porta da frente escancarada
    • A essa altura, isso nem parece uma backdoor, e sim algo mais próximo do velho padrão de senha root padrão idiota comum nesse tipo de hardware antigamente
      Se fosse uma backdoor, pelo menos teriam tentado ser mais discretos :)
    • Se está escondido de forma tão porca assim, parece um recurso de conveniência para desenvolvedor que esqueceram de remover antes da distribuição
    • Se a senha continua a mesma mesmo quase 4 anos após o último aviso, então é incompetência total ou uma cara de pau quase cômica
    • rz é uma abreviação comum de RechenZentrum, ou seja, datacenter, em países de língua alemã, então soa como alemão
      Em inglês, seria algo como dcadmin. Dá até para imaginar que terceirizaram isso para o pessoal do “gute Deutsche Wertarbeit”, ou que há sinal de alguma instituição tirando proveito, ou talvez só uma cortina de fumaça
  • Eu não conhecia bem a Tenda, mas ela aparece como fornecedora de roteadores, switches, APs sem fio e equipamentos de vigilância por vídeo para uso doméstico e empresarial, e a apresentação da empresa está em https://www.tendacn.com/us/profile
    Entre marcas chinesas, é comum haver casos em que só mudam o exterior usando os mesmos componentes internos, ou fazem rebranding para parecer uma marca concorrente, então imagino que a Tenda também possa fazer isso. Já vi isso no setor de câmeras de segurança
    Eu gostaria que os autores tivessem fornecido também um método para verificar a vulnerabilidade, e não só as versões de firmware. Porque a Tenda pode simplesmente trocar a senha e dizer “agora está seguro”

    • A Tenda é uma empresa relativamente antiga, então não parece o tipo de caso de rebranding
      Ainda devo ter em algum armário uns adaptadores Ethernet via rede elétrica que comprei dela há uns 10 anos. Na época, ter senha de administrador admin era quase padrão, e muitas vezes vinha até impressa no próprio dispositivo
    • A Tenda é uma marca muito comum na Ásia, e vários ISPs a usam como roteador padrão
    • Também há a alegação de que foi a “primeira fabricante chinesa de roteadores e equipamentos de rede sem fio desenvolvidos internamente”
    • Minha ex trabalhou no departamento comercial da Tenda. Antes disso eu já tinha visto a marca no contexto de switches não gerenciados baratos da Amazon
      Não parece ser algo como uma estatal, então imagino que seja menos uma intenção super maligna e mais um caso de realmente não ligarem para qualidade
    • Moro nos EUA e tenho um dongle USB WiFi da Tenda. Não é tão famosa quanto outras marcas, mas aparece bastante por aí
  • “Como o nome de usuário conectado não é validado, qualquer nome de usuário funciona junto com a senha da backdoor”, impressionante
    Não sei por que clientes deveriam confiar num fabricante desses. A essa altura, acho que nunca mais usaria roteadores com firmware caixa-preta fornecido pelo fabricante
    Antes de usar, eu sempre instalaria algo como OpenWRT, e se isso não fosse possível por qualquer motivo, eu nem cogitaria comprar esse equipamento

    • Da última vez que vi, o OpenWRT não dava suporte adequado a MIMO e beamforming em vários dispositivos
      Em lugares como conjuntos de apartamentos, onde as redes sem fio ficam cheias e congestionadas, esses recursos são importantes para garantir cobertura, intensidade de sinal e throughput. Fico curioso se o pessoal do OpenWRT encontrou algum contorno, ou se os fabricantes passaram a colaborar mais com drivers abertos para firmware carregável
    • Tem gente realmente usando mais de 1Gbit? Se entendi direito, até um roteador bom e barato como o Mikrotik CCR2004 é totalmente fechado, então a única alternativa seria montar por conta própria uma caixa meio improvisada
      E aí inevitavelmente a eficiência energética fica bem pior do que a de equipamentos com chip de switch dedicado
    • A abordagem é boa, mas, para começar, a segurança não deveria depender do roteador. Ela deveria resistir até a ataques vindos do roteador
  • É impressionante como empresas de equipamentos de rede conseguem produzir lixo de forma tão consistente
    E sempre com backdoors que parecem coisa de amador. Se ao menos fossem sofisticadas, ainda daria para pensar “alguma agência de segurança deve ter pedido isso”

    • Pode ser que as backdoors descobertas sejam justamente as de nível amador
      Ou pode ser que tenham sido colocadas de propósito nesse nível amador para serem encontradas
    • O fato triste é que há poucos clientes dispostos a pagar mais por segurança de verdade. E, mesmo pagando, ainda é duvidoso se receberiam isso de fato
    • Não parece que produziram lixo por acidente, e sim como resultado de seguir um plano e tomar decisões
  • Na verdade isso até é uma boa notícia. Tenho alguns roteadores Cube da Tenda, que na prática são quase repetidores WiFi com um pouco de função mesh, e sempre odiei o quanto o firmware é amarrado ao app
    Agora, com acesso root, vai ficar muito mais fácil contornar o app, e também desativar o mecanismo de ping que fica mandando consultas DNS para microsoft.com só para manter o indicador verde aceso
    Sinceramente, isso me parece menos uma “backdoor” em sentido malicioso e mais credenciais de acesso de desenvolvedor ou credenciais padrão embutidas no firmware. Provavelmente o fluxo era manter o código, mas randomizar a chave no processo de produção para que ficasse impossível adivinhar; só que deixaram de rodar essa etapa extra por preguiça, ou gravaram o firmware original sem a configuração de produção e isso acabou vazando

    • Por que um dispositivo de consumo precisaria de uma senha randomizada?
    • Isso mesmo, ela foi randomizada, mas por causa das propriedades universais das ondas de probabilidade sempre acaba sendo randomizada como rzadmin. Os cientistas estão perplexos
  • Por isso eu monto meu próprio roteador/firewall com hardware genérico e uma distribuição Linux

    • Lembro de fazer isso no fim dos anos 90 com ipchains. Na época, era a única forma de ter um roteador sem gastar uma fortuna
      Só depois surgiram os roteadores para consumidor/prosumer, então no fim das contas o velho acabou virando novo de novo
    • A Tenda tem bom suporte no OpenWRT
    • Estou tentando montar algo por conta própria para sair do roteador padrão emprestado pelo ISP, e queria saber se alguém tem recomendação de hardware e distribuição
  • Na época em que o Wi‑Fi de hotel parecia um bicho estranho, cheguei a usar um produto de Wi‑Fi de viagem da Tenda
    Hoje, com eSIM e planos de internet de viagem amplamente disponíveis, o Wi‑Fi de hotel talvez seja justamente a forma de conexão menos confiável, então provavelmente não há mais tanta necessidade
    Também tenho um equipamento da Mikrotik que ganhei de brinde na mesma faixa de preço; ele é fisicamente menor e roda algo que parece mais um código principal. Pode-se falar o que quiser da qualidade da Mikrotik, mas ela realmente oferece quase todos os controles de configuração que você poderia querer

    • Estou trabalhando em um hotel neste momento e demos bastante atenção para tornar o Wi‑Fi mais seguro
      Todos os usuários ficam cada um em sua própria VLAN, e cada quarto usa um PPSK separado. As credenciais também não seguem um padrão ridículo como sobrenome+número do quarto, e sim são geradas aleatoriamente. Também criamos nosso próprio sistema de controle de acesso e usamos o MIFARE DESFire EV3, que era o cartão-chave mais forte que conseguimos encontrar na época. Estou realmente tentando construir um hotel em que a segurança não pareça uma piada
  • Claro, EUA/Israel jamais fariam algo assim, então é só comprar UniFi/Fortinet/Palo Alto!

    • Já circulou um meme com um diagrama de rede em que se colocava um firewall americano atrás de um firewall chinês, e depois um firewall russo atrás dele, para que um bloqueasse os backdoors do outro
    • Essas empresas, e incluindo a Cisco, ainda teriam muito trabalho pela frente para alcançar a quantidade e a velocidade de “backdoors ocultos de autenticação”
      Ex.: https://www.thestack.technology/cisco-hard-coding-passwords-...
    • Não sei se é piada, mas os dois lados já fizeram esse tipo de coisa. E empresas americanas podem ser obrigadas a implementar backdoors por ordens secretas, se houver exigência
  • Meu ifconfig é simples. Se foi feito em Shenzhen, eu jogo fora

    • Mais da metade dos componentes dos seus eletrônicos provavelmente foi feita em Shenzhen
  • O hardware/firmware recente da Tenda aparentemente está criptografado, como nos exemplos abaixo, o que dificulta ainda mais a auditoria
    No binwalk, US_AC10V6.0si_V16.03.62.09_multi_TDE01.bin e US_BE12ProV1.0mt_V16.03.66.23_TD01.bin apareciam com criptografia OpenSSL
    O terceiro que testei, US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin, não estava criptografado, o que mostra que outros modelos fora da lista de afetados por este CVE também podem ter o problema. Em /squashfs-root/webroot_ro/default_ac.cfg e default_router.cfg dentro dele, há sys.rzadmin.username=rzadmin, sys.rzadmin.password=cnphZG1pbg==, que em Base64 vira rzadmin. Também aparece guest/guest
    Pelo que vi rapidamente, sys.rzadmin.password só é referenciado no contexto em que a função login() de /bin/httpd busca e compara o valor, e, se estiver errado, aparece "login err: password is wrong.". Não consegui encontrar, em nenhuma parte do firmware, referência de código que permita ao usuário alterar esse valor padrão
    Como extra, imsd_upload_log_v1 em /bin/imsd coleta SSID, endereços MAC, IP, sys.admin.username, sys.rzadmin.username e fuso horário, e imsd_remote_pwd_get obtém sys.admin.password. A biblioteca relacionada /lib/lubucapi.so também parece um binário que vale examinar melhor, e aparenta conter um conjunto de comandos que permite gerenciamento em nuvem ou depuração remota de roteadores Tenda, o que também pode explicar por que /bin/imsd tem imsd_remote_pwd_get