Tenda 固件 CVE-2026-11405 身份验证后门
Tenda 固件 CVE-2026-11405 身份验证后门
概述
多个版本的 Tenda 固件包含一个未记录的身份验证后门,可授予对设备 Web 管理界面的完全管理权限。该漏洞被追踪为 CVE-2026-11405,允许攻击者绕过标准的密码验证,并在没有有效用户凭据的情况下获得对设备的完全控制。
后门技术分析
该漏洞存在于 Web 服务器二进制文件 /bin/httpd 中,具体位于 login() 函数内部。虽然系统最初会尝试进行标准的基于 MD5 的密码验证,但如果该身份验证失败,它会采用一种回退机制。
身份验证绕过机制
- 回退触发:如果主要的 MD5 身份验证失败,
login()函数会调用GetValue("sys.rzadmin.password")以检索存储在设备配置中的备用密码。 - 明文比较:系统在用户提供的密码与存储的明文值之间执行直接的
strcmp()比较。 - 管理权限授予:匹配成功将授予用户
role=2(管理员级访问权限)并建立一个有效的会话。 - 用户名无关性:关联的用户名不经过验证;任何与后门密码配对的用户名都将授予访问权限。
社区分析表明,后门密码很可能是 "rzadmin"。对未加密固件(例如 US_W18EV2_kf_V16.01.0.20)的进一步调查显示,配置文件(default_ac.cfg 和 default_router.cfg)中 sys.rzadmin.password 被存储为 Base64 编码字符串(cnphZG1pbg==),解码后为 "rzadmin"。
受影响的固件版本
以下 Tenda 固件版本被明确识别为存在漏洞:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
影响与风险
成功利用该漏洞可使攻击者获得对设备 Web 界面的完全管理控制权。这允许重新配置网络设置、禁用安全功能,并可能进行横向移动以破坏局域网内的其他设备。
除了主要的后门之外,社区研究人员还注意到 Tenda 二进制文件中其他令人担忧的发现,包括 /bin/imsd 中的 imsd_remote_pwd_get 函数可检索管理员密码,以及库文件 /lib/lubucapi.so 可能有助于云管理或远程调试。
缓解策略
由于 CERT/CC 无法与厂商协调修复方案,目前尚无官方补丁可用。建议用户实施以下规避措施:
- 禁用远程管理:关闭允许从互联网(WAN 侧)访问 Web 管理界面的功能。
- 限制本地暴露:更改默认 LAN IP 地址,以降低设备更容易受到针对默认 IP 范围的自动化扫描器的影响。
- 更换固件:在可能的情况下,安装 OpenWRT 等开源替代方案,以移除厂商提供的“黑盒”固件。
社区观点
关于此漏洞的技术讨论突显了观点之间的分歧:一方认为这是恶意后门,另一方则将其视为开发人员测试的残留物。
"这看起来不太像是一个 'backdoor'(暗示恶意...)而更像是一个被烧录进固件的开发人员访问凭据/默认凭据... 你变得懒惰,没有执行额外的步骤,于是它就溜进去了。"
其他贡献者认为,缺乏复杂性表明这是能力不足而非国家支持的行动,同时强调,无论意图如何如何,其结果——未经授权的管理权限访问——仍然是一个关键的安全失败。