1 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • In der Firmware einiger Tenda-Netzwerkgeräte gibt es eine nicht dokumentierte Authentifizierungs-Backdoor, mit der sich ohne gültige Zugangsdaten Administratorrechte auf der Web-Management-Oberfläche erlangen lassen
  • CVE-2026-11405 funktioniert so, dass nach einem Fehlschlag der normalen Passwortprüfung der Wert sys.rzadmin.password als alternatives Passwort geprüft wird
  • Wenn das eingegebene Passwort mit dem konfigurierten Wert übereinstimmt, wird ohne Prüfung des Benutzernamens eine role=2-Administratorsitzung erstellt, was zu einer Umgehung der Authentifizierung führt
  • Betroffen sind bestimmte Firmware-Versionen der Reihen FH1201, W15E, AC10, AC5 und AC6; eine Ausnutzung ermöglicht die Neukonfiguration des Geräts, Änderungen an den Netzwerkeinstellungen und das Deaktivieren von Sicherheitsfunktionen
  • Da es noch keinen Patch gibt, muss die Verringerung der Angriffsfläche derzeit auf begrenzte Gegenmaßnahmen wie das Deaktivieren der Remote-Webverwaltung und das Ändern der Standard-LAN-IP setzen

Funktionsweise und Risiko der Authentifizierungs-Backdoor

  • Tenda liefert Netzwerkgeräte für Privat- und Unternehmenseinsatz, darunter Router, Switches, Wireless Access Points und Videoüberwachungsgeräte
  • Viele dieser Geräte bieten zur Konfiguration und Verwaltung eine webbasierte Oberfläche, die normalerweise durch Benutzername und Passwort geschützt ist
  • In der /bin/httpd-Binärdatei betroffener Firmware befindet sich in der Funktion login() ein nicht dokumentierter Backdoor-Authentifizierungsmechanismus
    • Zunächst wird im regulären Authentifizierungspfad eine MD5-basierte Passwortprüfung durchgeführt
    • Schlägt die Authentifizierung fehl, wird GetValue("sys.rzadmin.password") aufgerufen, um einen alternativen Passwortwert aus der Gerätekonfiguration zu holen
    • Danach wird das vom Benutzer eingegebene Passwort direkt per Klartext-strcmp() mit dem gespeicherten Konfigurationswert verglichen
    • Stimmen die Werte überein, werden Administratorrechte mit role=2 vergeben und eine gültige Sitzung erzeugt
  • In diesem Pfad fehlt die Prüfung des Benutzernamens
    • Unabhängig davon, welcher Benutzername eingegeben wird, ist die Authentifizierung erfolgreich, wenn er zusammen mit dem Backdoor-Passwort übermittelt wird
    • Der betreffende Authentifizierungsmechanismus ist nicht dokumentiert und wird auch in der Verwaltungsoberfläche nicht angezeigt
  • Bei erfolgreicher Ausnutzung lässt sich vollständiger Administratorzugriff auf die Weboberfläche des Geräts erlangen, unabhängig von den Zugangsdaten des eingerichteten Administratorkontos
    • Neukonfiguration des Geräts ist möglich
    • Änderungen an den Netzwerkeinstellungen sind möglich
    • Sicherheitsfunktionen können deaktiviert werden
    • Dies kann zu einer weitergehenden Kompromittierung des lokalen Netzwerks führen

Betroffene Firmware und aktueller Umgang

  • Betroffene Firmware-Versionen:
    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • Die Abstimmung mit dem Hersteller zur Schwachstelle ist gescheitert, daher steht kein Patch zur Verfügung
  • Mögliche Gegenmaßnahmen bis zum Erscheinen einer behobenen Version:
    • Remote-Verwaltung deaktivieren
      • Wenn das Gerät Remote-Webverwaltung unterstützt, sollte diese Funktion deaktiviert werden
      • Dadurch lässt sich verhindern, dass Angreifer aus externen Netzwerken über das Internet auf das Verwaltungs-Dashboard des Geräts zugreifen
    • Exposition im lokalen Netzwerk begrenzen
      • Das Ändern der Standard-LAN-IP-Adresse kann opportunistische Funde durch automatisierte Scanner reduzieren, die auf bekannte Standard-IP-Bereiche zielen
      • Diese Maßnahme verhindert jedoch keine absichtlichen oder gezielten Netzwerkscans
  • Relevante Kennungen und Referenzen:

1 Kommentare

 
GN⁺ 4 시간 전
Meinungen auf Hacker News
  • Im Artikel wird der Wert von sys.rzadmin.password nicht genannt, aber in einer Analyse von 2022 wurde er veröffentlicht: https://boschko.ca/tenda_ac1200_router/
    Spoiler: Der Wert ist rzadmin, und in der Firmware scheint es noch einiges anderes Interessantes zu geben

    • An dem Punkt kann man das wohl eher eine offenstehende Vordertür als eine Backdoor nennen
    • Das ist inzwischen nicht einmal mehr eine Backdoor, sondern eher das alte, bei solcher Hardware früher übliche Design mit einem dummen Standard-root-Passwort
      Bei einer Backdoor hätte man wohl zumindest versucht, etwas heimlicher zu sein :)
    • Wenn es so schlampig versteckt ist, wirkt es wie eine Entwickler-Komfortfunktion, die man vor der Auslieferung zu entfernen vergessen hat
    • Wenn das Passwort fast vier Jahre nach der letzten Meldung immer noch unverändert ist, ist das entweder echte Inkompetenz oder geradezu lächerliche Dreistigkeit
    • rz liest sich deutsch, weil es im deutschsprachigen Raum eine gängige Abkürzung für RechenZentrum, also Datacenter, ist
      Auf Englisch wäre es vom Gefühl her so etwas wie dcadmin. Das lässt einen daran denken, dass man vielleicht an jemanden ausgelagert hat, der „gute Deutsche Wertarbeit“ macht, dass irgendeine Behörde ihren Spaß hatte, oder dass es eine Nebelkerze von jemandem sein könnte
  • Ich kannte Tenda nicht wirklich; offenbar ist es ein Anbieter von Routern, Switches, Wireless APs und Videoüberwachungstechnik für Privat- und Geschäftskunden, und die Unternehmensvorstellung steht unter https://www.tendacn.com/us/profile
    Bei chinesischen Marken kommt es oft vor, dass sie dieselben internen Komponenten mit anderem Gehäuse verwenden oder sie wie eine Konkurrenzmarke rebranden; ich könnte mir vorstellen, dass das bei Tenda auch der Fall ist. Bei Sicherheitskameras habe ich so etwas schon gesehen
    Ich hätte mir gewünscht, dass die Autoren nicht nur die Firmware-Versionen, sondern auch eine Methode zur Prüfung der Verwundbarkeit bereitstellen. Tenda könnte ja einfach das Passwort ändern und sagen: „Jetzt ist es sicher“

    • Tenda ist ein ziemlich altes Unternehmen, daher glaube ich nicht, dass es sich um ein Rebranding handelt
      Ein Powerline-Ethernet-Adapter, den ich vor etwa zehn Jahren gekauft habe, liegt noch irgendwo in einem Schrank. Damals war ein Admin-Passwort wie admin praktisch Standard, und oft stand es sogar auf dem Gerät selbst aufgedruckt
    • Tenda ist in Asien eine sehr verbreitete Marke, und mehrere ISPs verwenden sie als Standardrouter
    • Es gibt auch die Behauptung, Tenda sei „Chinas erster Hersteller von selbst entwickelten Routern und drahtlosen Netzwerkgeräten“
    • Eine Ex-Partnerin von mir hat einmal im Vertrieb von Tenda gearbeitet. Schon vorher hatte ich die Marke im Kontext billiger unmanaged Switches auf Amazon gesehen
      Es ist kein Staatsunternehmen oder so; ich würde daher eher vermuten, dass es nicht um extrem bösartige Absichten geht, sondern dass sie schlicht wirklich keinen Wert auf Qualität legen
    • Ich lebe in den USA und habe einen WiFi-USB-Dongle von Tenda. Sie sind nicht so bekannt wie andere Marken, aber durchaus im Umlauf
  • „Der verbundene Benutzername wird nicht geprüft; jeder beliebige Benutzername funktioniert also zusammen mit dem Backdoor-Passwort“ – beeindruckend
    Ich weiß nicht, warum Kunden einem solchen Hersteller vertrauen sollten. Ich werde wohl nie wieder einen Router mit vom Anbieter gelieferter Blackbox-Firmware verwenden
    Vor der Nutzung würde ich immer etwas wie OpenWRT installieren, und wenn das aus irgendeinem Grund nicht möglich ist, würde ich den Kauf eines solchen Geräts nicht einmal in Erwägung ziehen

    • Als ich zuletzt nachgesehen habe, unterstützte OpenWRT auf vielen Geräten MIMO und Beamforming nicht richtig
      In Wohnanlagen oder anderen dicht belegten Funkumgebungen sind diese Funktionen wichtig, um Abdeckung, Signalstärke und Durchsatz sicherzustellen. Ich frage mich, ob OpenWRT inzwischen Workarounds gefunden hat oder ob die Hersteller kooperativer geworden sind, was offene Treiber mit ladbarer Firmware angeht
    • Nutzt man überhaupt etwas über 1 Gbit? Wenn ich es richtig verstehe, sind auch ordentliche und günstige Router wie der Mikrotik CCR2004 komplett geschlossen, sodass die einzige Alternative darin besteht, sich selbst eine eher zusammengebastelte Box zu bauen
      Die ist dann zwangsläufig deutlich weniger energieeffizient als Geräte mit dediziertem Switch-Chip
    • Der Ansatz ist gut, aber Sicherheit sollte von vornherein nicht vom Router abhängen. Man sollte auch Angriffen standhalten können, die vom Router ausgehen
  • Es ist erstaunlich, wie konsequent Netzwerkausrüster solchen Müll produzieren
    Und es sind immer amateurhafte Backdoors. Wären sie wenigstens ausgefeilt, könnte man noch sagen: „Wahrscheinlich hat irgendeine Sicherheitsbehörde das verlangt“

    • Vielleicht sind es die Backdoors auf Amateurniveau, die entdeckt werden
      Oder sie wurden absichtlich auf Amateurniveau eingebaut, damit sie entdeckt werden
    • Die traurige Wahrheit ist, dass viel zu wenige Kunden für ordentliche Sicherheit extra bezahlen. Und selbst wenn sie bezahlen, ist fraglich, ob sie sie tatsächlich bekommen
    • Das wirkt nicht so, als wäre versehentlich Müll entstanden, sondern wie das Ergebnis eines Plans und getroffener Entscheidungen
  • Das freut mich eigentlich. Ich habe ein paar Cube-Router von Tenda; im Grunde sind das WiFi-Repeater mit ein bisschen Mesh-Funktionalität, aber ich mochte schon immer nicht, wie stark die Firmware an die App gebunden ist
    Mit root-Zugriff kann ich die App jetzt viel leichter umgehen und auch den Ping-Mechanismus abschalten, der für die grüne Statusleuchte ständig DNS-Anfragen an microsoft.com schickt
    Ehrlich gesagt wirkt das weniger wie eine „Backdoor“ mit bösartigem Beiklang, sondern eher wie in der Firmware fest verdrahtete Entwickler-Zugangsdaten oder Standard-Zugangsdaten. Vermutlich war der Ablauf so gedacht, dass der Code selbst bleibt, der Schlüssel in der Produktion aber randomisiert und damit nicht erratbar gemacht wird; der zusätzliche Schritt wurde dann aus Bequemlichkeit nicht ausgeführt, oder man hat ohne Produktionseinstellungen einfach die ursprüngliche Firmware geflasht, wodurch es nach außen gelangte

    • Warum braucht ein Verbrauchergerät ein randomisiertes Passwort?
    • Genau, es wurde randomisiert, aber aufgrund der universellen Wahrscheinlichkeitswellen-Eigenschaften des Universums wird es immer zu rzadmin randomisiert. Auch die Wissenschaftler sind ratlos
  • Deshalb baue ich mir meinen Router/Firewall mit Standardhardware und einer Linux-Distribution selbst

    • Ich erinnere mich noch, wie ich das Ende der 90er mit ipchains gemacht habe. Damals war es die einzige Möglichkeit, einen Router zu bekommen, der nicht unglaublich teuer war
      Erst danach kamen Consumer-/Prosumer-Router auf, und am Ende ist das Alte wieder neu geworden
    • Tenda wird von OpenWRT ziemlich gut unterstützt
    • Ich versuche, vom vom ISP geliehenen Standardrouter wegzukommen und selbst etwas aufzusetzen; ich wäre an Empfehlungen für Hardware und Distributionen interessiert
  • Ich habe Tendas Reise-WiFi-Produkte benutzt, als Hotel-WiFi noch ein seltsames Biest war
    Heute braucht man so etwas dank eSIMs und allgemein verfügbaren Reise-Internet-Tarifen wohl kaum noch; Hotel-WiFi ist vielleicht sogar der am wenigsten vertrauenswürdige Zugangsweg
    Ich habe auch ein kostenlos beigelegtes Mikrotik-Gerät in derselben Preisklasse; es ist physisch kleiner und läuft mit etwas, das eher wie Mainline-Code aussieht. Was auch immer man über die Qualität von Mikrotik sagt: Es bietet einem fast jeden Konfigurationsregler, den man haben will

    • Ich arbeite gerade an einem Hotelprojekt und habe mir ziemlich viel Mühe gegeben, das WiFi sicherer zu machen
      Alle Nutzer sind jeweils in ihrem eigenen VLAN, und jedes Zimmer nutzt ein eigenes PPSK. Die Zugangsdaten werden außerdem zufällig erzeugt und folgen keinem unsinnigen Muster wie Nachname+Zimmernummer. Wir haben auch ein eigenes Zutrittskontrollsystem gebaut und MIFARE DESFire EV3 verwendet, die stärkste Schlüsselkarte, die wir damals finden konnten. Wir geben uns wirklich Mühe, ein Hotel zu schaffen, bei dem Sicherheit nicht wie ein Witz wirkt
  • Die USA/Israel würden so etwas natürlich nie tun, also kauft man einfach UniFi/Fortinet/Palo Alto!

    • Es gab einmal ein Netzwerkdiagramm-Meme, in dem hinter der chinesischen Firewall eine amerikanische Firewall und dahinter eine russische Firewall geschaltet waren, damit sie gegenseitig ihre Backdoors blockieren
    • Diese Firmen, und Cisco noch dazu, hätten einiges zu tun, wenn sie bei Menge und Tempo der „versteckten Authentifizierungs-Backdoors“ mithalten wollten
      Beispiel: https://www.thestack.technology/cisco-hard-coding-passwords-...
    • Ich weiß nicht, ob das ein Witz ist, aber beide haben so etwas schon getan. Und ein US-Unternehmen kann bei entsprechender Anforderung durch eine geheime Anordnung gezwungen werden, eine Backdoor zu implementieren
  • Mein ifconfig ist einfach: Wenn es in Shenzhen gebaut wurde, werfe ich es weg

    • Mehr als die Hälfte der Bauteile deiner Elektronik dürfte in Shenzhen hergestellt worden sein
  • Neuere Tenda-Hardware/-Firmware ist, wie in den folgenden Beispielen, verschlüsselt, was Audits offenbar erschwert
    US_AC10V6.0si_V16.03.62.09_multi_TDE01.bin und US_BE12ProV1.0mt_V16.03.66.23_TD01.bin waren laut binwalk mit OpenSSL verschlüsselt
    Der dritte Versuch, US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin, war nicht verschlüsselt und zeigt, dass auch andere Modelle, die nicht in der Liste der von dieser CVE betroffenen Geräte stehen, betroffen sein könnten. In /squashfs-root/webroot_ro/default_ac.cfg und default_router.cfg darin stehen sys.rzadmin.username=rzadmin und sys.rzadmin.password=cnphZG1pbg==; Base64-dekodiert ergibt das rzadmin. Auch guest/guest ist zu sehen
    Bei einem schnellen Blick wird sys.rzadmin.password nur in dem Kontext referenziert, in dem die Funktion login() von /bin/httpd den Wert abruft und vergleicht; bei einem Fehler erscheint "login err: password is wrong.". Ich konnte in keinem Teil der Firmware Code-Referenzen finden, über die Nutzer diesen Default-Wert ändern könnten
    Nebenbei sammelt imsd_upload_log_v1 in /bin/imsd SSID, MAC- und IP-Adresse, sys.admin.username, sys.rzadmin.username sowie die Zeitzone, und imsd_remote_pwd_get ruft sys.admin.password ab. Die zugehörige Library /lib/lubucapi.so wirkt ebenfalls wie ein Binary, das sich genauer anzusehen lohnt; sie scheint einen Befehlssatz zu enthalten, der Cloud-Management oder Remote-Debugging von Tenda-Routern ermöglicht, und das könnte auch der Grund sein, warum es imsd_remote_pwd_get in /bin/imsd gibt