В прошивке роутеров Tenda нашли скрытый бэкдор для входа под админом
CERT/CC (координационный центр CERT при Университете Карнеги-Меллона) опубликовал рекомендацию о серьёзной уязвимости в прошивке сетевых устройств Tenda, производителя домашних и офисных роутеров, коммутаторов, точек доступа и камер видеонаблюдения. Уязвимости присвоен номер CVE-2026-11405.
Проблема найдена в бинарном файле веб-сервера /bin/httpd, который отвечает за веб-интерфейс управления устройством. Функция login() сначала пытается проверить пароль обычным способом, через сравнение MD5-хэшей. Но если эта проверка не проходит, функция не отклоняет вход, а обращается к параметру конфигурации sys.rzadmin.password и сравнивает введённый пользователем пароль с этим значением напрямую, в открытом виде, функцией strcmp(). Если строки совпадают, пользователь получает роль role=2, уровень администратора, и полноценную сессию в системе.
При этом имя пользователя вообще не проверяется: подойдёт любое, если введённый пароль совпадает со скрытым значением. Этот резервный механизм входа нигде не задокументирован и не отображается ни в одном разделе административного интерфейса, то есть обычный пользователь о нём не узнает и не сможет его отключить.
Затронуты как минимум пять конкретных сборок прошивки: US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD, US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE, US_AC10V1.0re_V15.03.06.46_multi_TDE01, US_AC5V1.0RTL_V15.03.06.48_multi_TDE01 и US_AC6V2.0RTL_V15.03.06.51_multi_T.
Получив административный доступ, злоумышленник может полностью перенастроить устройство: изменить сетевые параметры, отключить встроенные средства защиты и использовать роутер как точку входа для дальнейшей атаки на локальную сеть.
CERT/CC сообщает, что не смогла связаться с Tenda для координированного раскрытия уязвимости, поэтому официального патча нет. Из мер снижения риска предлагаются две: отключить удалённое (через интернет) управление устройством, если оно включено, и сменить IP-адрес роутера в локальной сети по умолчанию, это не устраняет уязвимость, но затрудняет её автоматическое обнаружение массовыми сканерами, ищущими устройства по типовым адресам.
Исследователь, обнаруживший бэкдор, пожелал остаться анонимным; сам документ подготовил сотрудник CERT/CC Боб Кемерер (Bob Kemerer).
Ключевые факты
- Уязвимость CVE-2026-11405, недокументированный бэкдор в веб-сервере /bin/httpd прошивки роутеров Tenda
- Если обычная MD5-проверка пароля не проходит, система сверяет введённые данные со скрытым значением sys.rzadmin.password напрямую, в открытом тексте
- Имя пользователя не проверяется вовсе, подходит любое при совпадении скрытого пароля
- Успешный вход даёт роль администратора (role=2) и полный контроль над устройством
- Патча нет: производитель не вышел на связь с CERT/CC; доступны только временные меры, отключить удалённое управление и сменить LAN-адрес по умолчанию
Почему это важно
Бэкдор встроен не в какую-то экзотическую прошивку, а в массовые домашние и офисные роутеры Tenda, устройства, которые обычно ставят и забывают на годы. Скрытый резервный пароль, который срабатывает при любом логине, фактически сводит на нет всю парольную защиту устройства и делает его уязвимым для тех, кто знает или подберёт этот скрытый пароль.
Кому это важно
В первую очередь, владельцам перечисленных моделей и версий прошивки Tenda, а также системным администраторам, которые обслуживают такие устройства в малом бизнесе. Косвенно это касается всех, кто сидит в сети за таким роутером: скомпрометированное устройство может использоваться как плацдарм для атаки на остальные компьютеры и гаджеты в локальной сети.
Как это применить
Пока патча нет, разумно проверить модель и версию прошивки своего роутера на совпадение со списком затронутых сборок, отключить удалённое администрирование через интернет (если оно включено) и сменить LAN-адрес устройства с заводского на нестандартный, это не закрывает саму дыру, но снижает шанс на попадание в поле зрения массовых сканеров.
Можно ли доверять
Источник, официальная рекомендация CERT/CC (Координационный центр CERT), авторитетной организации, которая профессионально занимается разбором и публикацией подобных уязвимостей; в тексте указан конкретный технический механизм (функция, параметр конфигурации, вызов сравнения строк) и точный список затронутых версий прошивки, что говорит в пользу достоверности отчёта.
Риски и подводные камни
Главный риск, что уязвимость выглядит не случайной ошибкой, а намеренно встроенным резервным входом: сама логика (сравнение в открытом виде, игнорирование имени пользователя) больше похожа на осознанно оставленную лазейку, чем на баг. Пока производитель не вышел на связь и патч не выпущен, единственная защита, отключение удалённого доступа и обход по IP-адресу, что не устраняет саму проблему в прошивке.