Tenda Firmware CVE-2026-11405 Authentication Backdoor
Tenda Firmware CVE-2026-11405 Authentication Backdoor
Overview
多個版本的 Tenda 韌體包含一個未記錄的身份驗證後門,可授予對設備 Web 管理介面的完整管理權限。此漏洞被追蹤為 CVE-2026-11405,允許攻擊者繞過標準密碼驗證,並在沒有有效使用者憑據的情況下取得設備的完整控制權。
Technical Analysis of the Backdoor
該漏洞存在於 Web 伺服器二進位檔 /bin/httpd 中,特別是在 login() 函數內。雖然系統最初會嘗試進行標準的基於 MD5 的密碼驗證,但如果該身份驗證失敗,它會採用一種回退機制。
The Authentication Bypass Mechanism
- Fallback Trigger: 如果主要的 MD5 身份驗證失敗,
login()函數會調用GetValue("sys.rzadmin.password")以檢索儲存在設備配置中的替代密碼。 - Plaintext Comparison: 系統會在使用者提供的密碼與儲存的明文值之間進行直接的
strcmp()比較。 - Administrative Grant: 成功的匹配會授予使用者
role=2(管理員級別存取權限)並建立一個有效的會話。 - Username Irrelevance: 關聯的使用者名稱並非經過驗證;任何與後門密碼配對的使用者名稱都將授予存取權限。
社群分析顯示,後門密碼很可能是 "rzadmin"。對未加密韌體的進一步調查(例如 US_W18EV2_kf_V16.01.0.20)揭示了配置檔案(default_ac.cfg 和 default_router.cfg)中,sys.rzadmin.password 被儲存為 Base64 編碼字串(cnphZG1pbg==),解碼後為 "rzadmin"。
Affected Firmware Versions
以下 Tenda 韌體版本被明確識別為受影響:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
Impact and Risk
成功利用此漏洞可讓攻擊者獲得對設備 Web 介面的完整管理控制權。這允許重新配置網路設定、停用安全功能,並可能進行橫向移動以入侵其他位於本地網路上的設備。
除了主要的後門之外,社群研究人員還在 Tenda 二進位檔中發現了其他令人擔憂的發現,包括 /bin/imsd 中的 imsd_remote_pwd_get 函數,該函數可檢索管理員密碼,以及 /lib/lubucapi.so 函式庫,該函式庫可能用於促進雲端管理或遠端偵錯。
Mitigation Strategies
由於 CERT/CC 無法與廠商協調修復方案,目前尚無官方補丁可用。建議使用者實施以下規避措施:
- Disable Remote Management: 關閉允許從網際網路(WAN 端)存取 Web 管理介面的功能。
- Restrict Local Exposure: 修改預設的 LAN IP 地址,以降低設備更容易受到針對預設 IP 範圍的自動化掃描器的影響。
- Replace Firmware: 在可能的情況下,安裝 OpenWRT 等開源替代方案,以移除廠商提供的 "black box" 韌體。
Community Perspective
關於此漏洞的技術討論突顯了對於將其視為惡意後門還是開發者測試殘留物的分歧。
"This looks less like a 'backdoor' (implies malicious...) and more like a multiple access credential/default credential that was burned into the firmware... you get lazy and dont run that extra step and this slips in."
其他貢獻者認為,缺乏複雜性暗示著能力不足而非國家支持的行動,同時強調無論意圖如何,結果——未經授權的管理員存取權限——仍然是一個關鍵的安全失效。