Verschillende versies van de firmware die zijn uitgebracht door de Chinese fabrikant van netwerkapparatuur Tenda blijken een ongedocumenteerde authenticatie-achterdeur te bevatten die administratieve toegang tot de webbeheerinterfaces van de apparaten mogelijk maakt, waarschuwde het CERT Coördinatiecentrum (CERT/CC) maandag.
“Een aanvaller kan misbruik maken van dit beveiligingslek, dat wordt bijgehouden als CVE-2026-11405om het wachtwoordverificatieproces te omzeilen en volledige administratieve controle te verkrijgen zonder geldige inloggegevens”, aldus het CERT/CC in een waarschuwing.
De kwetsbaarheid heeft gevolgen voor meerdere versies van de firmware –
- US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
- US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
- US_AC10V1.0re_V15.03.06.46_multi_TDE01
- US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
- US_AC6V2.0RTL_V15.03.06.51_multi_T
De backdoor-functionaliteit is aanwezig binnen de “login()”-functie van het binaire bestand “/bin/httpd”-webserver. Hoewel de methode in eerste instantie een normaal authenticatiepad volgt met behulp van MD5-gebaseerde wachtwoordverificatie, activeert deze een alternatief codepad als de authenticatie mislukt.
Concreet houdt dit het aanroepen van “GetValue(“sys.rzadmin.password”)” in om een alternatieve wachtwoordwaarde op te halen uit de apparaatconfiguratie, en het uitvoeren van een directe vergelijking in leesbare tekst tussen het door de gebruiker opgegeven wachtwoord en de in de configuratie opgeslagen waarde. Als deze waarden overeenkomen, verleent de applicatie toegang op beheerdersniveau (rol=2) en wordt een geldige sessie met verhoogde bevoegdheden gemaakt.
“De bijbehorende (“rzadmin”) gebruikersnaam is niet gevalideerd, dus elke opgegeven gebruikersnaam zal slagen wanneer deze wordt gekoppeld aan het achterdeurwachtwoord”, aldus het CERT/CC. “Dit achterdeurauthenticatiemechanisme is niet gedocumenteerd of zichtbaar via een administratieve interface.”
Succesvol gebruik van deze standaard gebruikersnaamvalidatie-overschrijving maakt volledige beheerderstoegang tot de webinterface van het apparaat mogelijk, ongeacht de inloggegevens van het beheerdersaccount. Het kan een aanvaller in staat stellen ongeautoriseerde instellingen op afstand te wijzigen, beveiligingsfuncties uit te schakelen of het apparaat opnieuw te configureren, wat mogelijk kan leiden tot een volledige overname van het apparaat.
De kwetsbaarheid, gerapporteerd door een anonieme onderzoeker, is op het moment van schrijven nog steeds niet verholpen. The Hacker News heeft contact opgenomen met Tenda voor commentaar en we zullen het verhaal bijwerken als we iets horen.
In de tussentijd wordt gebruikers geadviseerd om extern beheer op het apparaat uit te schakelen en het standaard LAN IP-adres te wijzigen om te voorkomen dat kwaadwillenden het kunnen bereiken en om opportunistische ontdekkingen door geautomatiseerde scanners te verminderen die zich richten op bekende standaard IP-bereiken.