Se ha descubierto que varias versiones de firmware lanzadas por el fabricante chino de dispositivos de red Tenda incorporan una puerta trasera de autenticación no documentada que permite el acceso administrativo a las interfaces de gestión web de los dispositivos, advirtió el lunes el Centro de Coordinación CERT (CERT/CC).
«Un atacante puede explotar esta vulnerabilidad, rastreada como CVE-2026-11405para evitar el proceso de verificación de contraseña y obtener control administrativo total sin credenciales válidas», el CERT/CC dicho en una alerta.
La vulnerabilidad afecta a varias versiones del firmware.
- US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
- US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
- US_AC10V1.0re_V15.03.06.46_multi_TDE01
- US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
- US_AC6V2.0RTL_V15.03.06.51_multi_T
La funcionalidad de puerta trasera está presente dentro de la función «login()» del binario del servidor web «/bin/httpd». Si bien el método inicialmente sigue una ruta de autenticación normal utilizando la verificación de contraseña basada en MD5, activa una ruta de código alternativa si la autenticación falla.
Específicamente, esto implica llamar a «GetValue(«sys.rzadmin.password»)» para obtener un valor de contraseña alternativo de la configuración del dispositivo y realizar una comparación directa de texto sin formato entre la contraseña proporcionada por el usuario y el valor almacenado en la configuración. Si estos valores coinciden, la aplicación otorga acceso de nivel de administrador (rol=2) y crea una sesión válida con privilegios elevados.
«El asociado [«rzadmin»] El nombre de usuario no está validado, por lo que cualquier nombre de usuario proporcionado tendrá éxito cuando se combine con la contraseña de la puerta trasera», dijo el CERT/CC. «Este mecanismo de autenticación de puerta trasera no está documentado ni es visible a través de ninguna interfaz administrativa».
La explotación exitosa de esta anulación de validación de nombre de usuario estándar permite acceso administrativo completo a la interfaz web del dispositivo, independientemente de las credenciales de la cuenta de administrador. Puede permitir que un atacante realice modificaciones remotas no autorizadas de la configuración, deshabilite las funciones de seguridad o reconfigure el dispositivo, lo que podría conducir a una toma completa del dispositivo.
La vulnerabilidad, reportada por un investigador anónimo, no ha sido corregida al momento de escribir este artículo. Hacker News se ha puesto en contacto con Tenda para solicitar comentarios y actualizaremos la historia si recibimos una respuesta.
Mientras tanto, se recomienda a los usuarios que deshabiliten la administración remota en el dispositivo y cambien la dirección IP de la LAN predeterminada para evitar que los malos actores lleguen a ella y reducir el descubrimiento oportunista por parte de escáneres automatizados que apuntan a rangos de IP predeterminados conocidos.



