Tenda Firmware CVE-2026-11405 認証バックドア
Tenda Firmware CVE-2026-11405 認証バックドア
概要
複数のバージョンの Tenda ファームウェアに、デバイスの Web 管理インターフェースへの完全な管理者アクセスを許す未文書化の認証バックドアが含まれています。CVE-2026-11405 として追跡されているこの脆弱性により、攻撃者は標準のパスワード検証をバイパスし、有効なユーザー認証情報なしでデバイスを完全に制御できるようになります。
バックドアの技術的分析
脆弱性は Web サーバーバイナリ /bin/httpd の login() 関数内に存在します。システムは最初に標準の MD5 ベースのパスワード検証を試みますが、認証に失敗した場合にフォールバックメカニズムを使用します。
認証バイパスメカニズム
- フォールバックトリガー: 主な MD5 認証が失敗すると、
login()関数はGetValue("sys.rzadmin.password")を呼び出し、デバイス設定に保存された代替パスワードを取得します。 - 平文比較: システムはユーザーが入力したパスワードと保存された値を平文で
strcmp()比較します。 - 管理権限付与: 一致するとユーザーに
role=2(管理者レベルのアクセス)が付与され、正当なセッションが確立されます。 - ユーザー名は無関係: 関連するユーザー名は検証されません。バックドアパスワードと組み合わせた任意のユーザー名でアクセスが可能です。
コミュニティの分析によれば、バックドアパスワードはおそらく "rzadmin" であるとされています。暗号化されていないファームウェア(例: US_W18EV2_kf_V16.01.0.20)を調査したところ、default_ac.cfg と default_router.cfg に sys.rzadmin.password が Base64 エンコード文字列(cnphZG1pbg==)として保存されており、デコードすると "rzadmin" になります。
影響を受けるファームウェアバージョン
以下の Tenda ファームウェアバージョンが明示的に脆弱と特定されています:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
影響とリスク
攻撃が成功すると、攻撃者はデバイスの Web インターフェースに対して完全な管理者権限を取得します。これにより、ネットワーク設定の再構成、セキュリティ機能の無効化、ローカルネットワーク上の他デバイスへの横移動が可能になります。
バックドア以外にも、コミュニティの研究者は Tenda バイナリ内で以下のような懸念点を指摘しています: /bin/imsd の imsd_remote_pwd_get 関数が管理者パスワードを取得すること、そして /lib/lubucapi.so ライブラリがクラウド管理やリモートデバッグを支援する可能性があること。
緩和策
CERT/CC がベンダーと修正の調整ができなかったため、現在公式パッチは提供されていません。ユーザーは以下の回避策を実施することが推奨されます:
- リモート管理の無効化: インターネット(WAN 側)から Web 管理インターフェースにアクセスできる機能をオフにします。
- ローカル露出の制限: デフォルトの LAN IP アドレスを変更し、デフォルト IP 範囲を狙った自動スキャナに対する脆弱性を低減します。
- ファームウェアの置き換え: 可能であれば OpenWRT などのオープンソース代替品をインストールし、ベンダー提供の「ブラックボックス」ファームウェアを除去します。
コミュニティの見解
この脆弱性に関する技術的議論は、悪意あるバックドアと見なす立場と、開発者テスト用の残存クレデンシャルと見る立場に分かれています。
"これは 'バックドア'(悪意があることを示唆)というよりも、ファームウェアに焼き付けられた開発者用アクセスクレデンシャル/デフォルトクレデンシャルのように見えます…余計な手順を省いた結果、これが残ってしまったのです。"
他の貢献者は、洗練度の欠如は国家支援型の攻撃というよりも無能さを示すと指摘しつつ、意図に関わらず結果として得られる不正な管理者アクセスは重大なセキュリティ失敗であると強調しています。