Исследователи безопасности выявили критическую уязвимость в прошивках сетевого оборудования Tenda. Проблема, получившая идентификатор CVE-2026-11405, представляет собой недокументированный механизм обхода аутентификации, который позволяет злоумышленнику получить полный контроль над маршрутизаторами, коммутаторами, беспроводными точками доступа и системами видеонаблюдения. Официального патча на момент публикации не существует, производитель на связь не вышел.
Уязвимость CVE-2026-11405
Уязвимость связана с наличием в исполняемом файле веб-сервера "/bin/httpd" скрытой функции. При попытке входа в веб-интерфейс устройство сначала выполняет штатную проверку пароля на основе хэша MD5. Однако если аутентификация завершается неудачно, код обращается к параметру конфигурации "sys.rzadmin.password" и сравнивает введённый пользователем пароль с этим значением в открытом виде. Совпадение приводит к созданию сеанса с правами администратора независимо от указанного логина. Таким образом, зная заранее заданный пароль, атакующий может войти в систему под любым именем пользователя.
Механизм не отображается ни в одном интерфейсе управления и не упоминается в документации. Для эксплуатации достаточно иметь сетевой доступ к устройству по протоколам HTTP или HTTPS. После получения административной сессии злоумышленник может изменять любые настройки, перенаправлять трафик, отключать встроенные средства защиты и использовать устройство как точку входа для атак на другие системы в локальной сети.
Проблема подтверждена для пяти версий прошивок:
- US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
- US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
- US_AC10V1.0re_V15.03.06.46_multi_TDE01
- US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
- US_AC6V2.0RTL_V15.03.06.51_multi_T
Все они предназначены для потребительских и малых офисных устройств Tenda - популярного вендора на рынке домашнего и промышленного сетевого оборудования. Компания выпускает широкий спектр продуктов: от маршрутизаторов до систем видеонаблюдения, и почти все они имеют веб-интерфейс для настройки.
Исследователи не смогли связаться с производителем для координации выпуска исправления. В официальном бюллетене по уязвимости указано, что временной мерой защиты может служить отключение удалённого доступа к веб-интерфейсу из внешних сетей. Также рекомендуется изменить локальный IP-адрес устройства, чтобы уменьшить вероятность обнаружения автоматическими сканерами, которые ориентируются на стандартные диапазоны. Однако эти меры не защищают от целенаправленных атак внутри сети.
Ситуация с CVE-2026-11405 напоминает ряд предыдущих находок в прошивках недорогих сетевых устройств, где разработчики оставляли скрытые учётные записи или запасные пути аутентификации. Чаще всего такие механизмы внедряются для упрощения технической поддержки или тестирования, но впоследствии не удаляются из финальных версий. Отсутствие реакции вендора на уведомление об уязвимости усугубляет риск: устройства могут оставаться незащищёнными годами.
Для пользователей оборудования Tenda текущая рекомендация - ограничить доступ к веб-интерфейсу только доверенными локальными сегментами сети и по возможности отключить функцию удалённого управления. Компаниям, использующим такие устройства в корпоративной инфраструктуре, стоит рассмотреть замену на модели с активной поддержкой безопасности. В случае эксплуатации уязвимости атакующий может получить полный контроль не только над самим устройством, но и над трафиком, проходящим через него, что открывает путь к компрометации всей локальной сети.
Ссылки