- In der Firmware einiger Tenda-Netzwerkgeräte gibt es eine nicht dokumentierte Authentifizierungs-Backdoor, mit der sich ohne gültige Zugangsdaten Administratorrechte auf der Web-Management-Oberfläche erlangen lassen
- CVE-2026-11405 funktioniert so, dass nach einem Fehlschlag der normalen Passwortprüfung der Wert
sys.rzadmin.passwordals alternatives Passwort geprüft wird - Wenn das eingegebene Passwort mit dem konfigurierten Wert übereinstimmt, wird ohne Prüfung des Benutzernamens eine
role=2-Administratorsitzung erstellt, was zu einer Umgehung der Authentifizierung führt - Betroffen sind bestimmte Firmware-Versionen der Reihen FH1201, W15E, AC10, AC5 und AC6; eine Ausnutzung ermöglicht die Neukonfiguration des Geräts, Änderungen an den Netzwerkeinstellungen und das Deaktivieren von Sicherheitsfunktionen
- Da es noch keinen Patch gibt, muss die Verringerung der Angriffsfläche derzeit auf begrenzte Gegenmaßnahmen wie das Deaktivieren der Remote-Webverwaltung und das Ändern der Standard-LAN-IP setzen
Funktionsweise und Risiko der Authentifizierungs-Backdoor
- Tenda liefert Netzwerkgeräte für Privat- und Unternehmenseinsatz, darunter Router, Switches, Wireless Access Points und Videoüberwachungsgeräte
- Viele dieser Geräte bieten zur Konfiguration und Verwaltung eine webbasierte Oberfläche, die normalerweise durch Benutzername und Passwort geschützt ist
- In der
/bin/httpd-Binärdatei betroffener Firmware befindet sich in der Funktionlogin()ein nicht dokumentierter Backdoor-Authentifizierungsmechanismus- Zunächst wird im regulären Authentifizierungspfad eine MD5-basierte Passwortprüfung durchgeführt
- Schlägt die Authentifizierung fehl, wird
GetValue("sys.rzadmin.password")aufgerufen, um einen alternativen Passwortwert aus der Gerätekonfiguration zu holen - Danach wird das vom Benutzer eingegebene Passwort direkt per Klartext-
strcmp()mit dem gespeicherten Konfigurationswert verglichen - Stimmen die Werte überein, werden Administratorrechte mit
role=2vergeben und eine gültige Sitzung erzeugt
- In diesem Pfad fehlt die Prüfung des Benutzernamens
- Unabhängig davon, welcher Benutzername eingegeben wird, ist die Authentifizierung erfolgreich, wenn er zusammen mit dem Backdoor-Passwort übermittelt wird
- Der betreffende Authentifizierungsmechanismus ist nicht dokumentiert und wird auch in der Verwaltungsoberfläche nicht angezeigt
- Bei erfolgreicher Ausnutzung lässt sich vollständiger Administratorzugriff auf die Weboberfläche des Geräts erlangen, unabhängig von den Zugangsdaten des eingerichteten Administratorkontos
- Neukonfiguration des Geräts ist möglich
- Änderungen an den Netzwerkeinstellungen sind möglich
- Sicherheitsfunktionen können deaktiviert werden
- Dies kann zu einer weitergehenden Kompromittierung des lokalen Netzwerks führen
Betroffene Firmware und aktueller Umgang
- Betroffene Firmware-Versionen:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
- Die Abstimmung mit dem Hersteller zur Schwachstelle ist gescheitert, daher steht kein Patch zur Verfügung
- Mögliche Gegenmaßnahmen bis zum Erscheinen einer behobenen Version:
- Remote-Verwaltung deaktivieren
- Wenn das Gerät Remote-Webverwaltung unterstützt, sollte diese Funktion deaktiviert werden
- Dadurch lässt sich verhindern, dass Angreifer aus externen Netzwerken über das Internet auf das Verwaltungs-Dashboard des Geräts zugreifen
- Exposition im lokalen Netzwerk begrenzen
- Das Ändern der Standard-LAN-IP-Adresse kann opportunistische Funde durch automatisierte Scanner reduzieren, die auf bekannte Standard-IP-Bereiche zielen
- Diese Maßnahme verhindert jedoch keine absichtlichen oder gezielten Netzwerkscans
- Remote-Verwaltung deaktivieren
- Relevante Kennungen und Referenzen:
1 Kommentare
Meinungen auf Hacker News
Im Artikel wird der Wert von
sys.rzadmin.passwordnicht genannt, aber in einer Analyse von 2022 wurde er veröffentlicht: https://boschko.ca/tenda_ac1200_router/Spoiler: Der Wert ist rzadmin, und in der Firmware scheint es noch einiges anderes Interessantes zu geben
Bei einer Backdoor hätte man wohl zumindest versucht, etwas heimlicher zu sein :)
rzliest sich deutsch, weil es im deutschsprachigen Raum eine gängige Abkürzung für RechenZentrum, also Datacenter, istAuf Englisch wäre es vom Gefühl her so etwas wie
dcadmin. Das lässt einen daran denken, dass man vielleicht an jemanden ausgelagert hat, der „gute Deutsche Wertarbeit“ macht, dass irgendeine Behörde ihren Spaß hatte, oder dass es eine Nebelkerze von jemandem sein könnteIch kannte Tenda nicht wirklich; offenbar ist es ein Anbieter von Routern, Switches, Wireless APs und Videoüberwachungstechnik für Privat- und Geschäftskunden, und die Unternehmensvorstellung steht unter https://www.tendacn.com/us/profile
Bei chinesischen Marken kommt es oft vor, dass sie dieselben internen Komponenten mit anderem Gehäuse verwenden oder sie wie eine Konkurrenzmarke rebranden; ich könnte mir vorstellen, dass das bei Tenda auch der Fall ist. Bei Sicherheitskameras habe ich so etwas schon gesehen
Ich hätte mir gewünscht, dass die Autoren nicht nur die Firmware-Versionen, sondern auch eine Methode zur Prüfung der Verwundbarkeit bereitstellen. Tenda könnte ja einfach das Passwort ändern und sagen: „Jetzt ist es sicher“
Ein Powerline-Ethernet-Adapter, den ich vor etwa zehn Jahren gekauft habe, liegt noch irgendwo in einem Schrank. Damals war ein Admin-Passwort wie
adminpraktisch Standard, und oft stand es sogar auf dem Gerät selbst aufgedrucktEs ist kein Staatsunternehmen oder so; ich würde daher eher vermuten, dass es nicht um extrem bösartige Absichten geht, sondern dass sie schlicht wirklich keinen Wert auf Qualität legen
„Der verbundene Benutzername wird nicht geprüft; jeder beliebige Benutzername funktioniert also zusammen mit dem Backdoor-Passwort“ – beeindruckend
Ich weiß nicht, warum Kunden einem solchen Hersteller vertrauen sollten. Ich werde wohl nie wieder einen Router mit vom Anbieter gelieferter Blackbox-Firmware verwenden
Vor der Nutzung würde ich immer etwas wie OpenWRT installieren, und wenn das aus irgendeinem Grund nicht möglich ist, würde ich den Kauf eines solchen Geräts nicht einmal in Erwägung ziehen
In Wohnanlagen oder anderen dicht belegten Funkumgebungen sind diese Funktionen wichtig, um Abdeckung, Signalstärke und Durchsatz sicherzustellen. Ich frage mich, ob OpenWRT inzwischen Workarounds gefunden hat oder ob die Hersteller kooperativer geworden sind, was offene Treiber mit ladbarer Firmware angeht
Die ist dann zwangsläufig deutlich weniger energieeffizient als Geräte mit dediziertem Switch-Chip
Es ist erstaunlich, wie konsequent Netzwerkausrüster solchen Müll produzieren
Und es sind immer amateurhafte Backdoors. Wären sie wenigstens ausgefeilt, könnte man noch sagen: „Wahrscheinlich hat irgendeine Sicherheitsbehörde das verlangt“
Oder sie wurden absichtlich auf Amateurniveau eingebaut, damit sie entdeckt werden
Das freut mich eigentlich. Ich habe ein paar Cube-Router von Tenda; im Grunde sind das WiFi-Repeater mit ein bisschen Mesh-Funktionalität, aber ich mochte schon immer nicht, wie stark die Firmware an die App gebunden ist
Mit root-Zugriff kann ich die App jetzt viel leichter umgehen und auch den Ping-Mechanismus abschalten, der für die grüne Statusleuchte ständig DNS-Anfragen an
microsoft.comschicktEhrlich gesagt wirkt das weniger wie eine „Backdoor“ mit bösartigem Beiklang, sondern eher wie in der Firmware fest verdrahtete Entwickler-Zugangsdaten oder Standard-Zugangsdaten. Vermutlich war der Ablauf so gedacht, dass der Code selbst bleibt, der Schlüssel in der Produktion aber randomisiert und damit nicht erratbar gemacht wird; der zusätzliche Schritt wurde dann aus Bequemlichkeit nicht ausgeführt, oder man hat ohne Produktionseinstellungen einfach die ursprüngliche Firmware geflasht, wodurch es nach außen gelangte
rzadminrandomisiert. Auch die Wissenschaftler sind ratlosDeshalb baue ich mir meinen Router/Firewall mit Standardhardware und einer Linux-Distribution selbst
ipchainsgemacht habe. Damals war es die einzige Möglichkeit, einen Router zu bekommen, der nicht unglaublich teuer warErst danach kamen Consumer-/Prosumer-Router auf, und am Ende ist das Alte wieder neu geworden
Ich habe Tendas Reise-WiFi-Produkte benutzt, als Hotel-WiFi noch ein seltsames Biest war
Heute braucht man so etwas dank eSIMs und allgemein verfügbaren Reise-Internet-Tarifen wohl kaum noch; Hotel-WiFi ist vielleicht sogar der am wenigsten vertrauenswürdige Zugangsweg
Ich habe auch ein kostenlos beigelegtes Mikrotik-Gerät in derselben Preisklasse; es ist physisch kleiner und läuft mit etwas, das eher wie Mainline-Code aussieht. Was auch immer man über die Qualität von Mikrotik sagt: Es bietet einem fast jeden Konfigurationsregler, den man haben will
Alle Nutzer sind jeweils in ihrem eigenen VLAN, und jedes Zimmer nutzt ein eigenes PPSK. Die Zugangsdaten werden außerdem zufällig erzeugt und folgen keinem unsinnigen Muster wie Nachname+Zimmernummer. Wir haben auch ein eigenes Zutrittskontrollsystem gebaut und MIFARE DESFire EV3 verwendet, die stärkste Schlüsselkarte, die wir damals finden konnten. Wir geben uns wirklich Mühe, ein Hotel zu schaffen, bei dem Sicherheit nicht wie ein Witz wirkt
Die USA/Israel würden so etwas natürlich nie tun, also kauft man einfach UniFi/Fortinet/Palo Alto!
Beispiel: https://www.thestack.technology/cisco-hard-coding-passwords-...
Mein
ifconfigist einfach: Wenn es in Shenzhen gebaut wurde, werfe ich es wegNeuere Tenda-Hardware/-Firmware ist, wie in den folgenden Beispielen, verschlüsselt, was Audits offenbar erschwert
US_AC10V6.0si_V16.03.62.09_multi_TDE01.binundUS_BE12ProV1.0mt_V16.03.66.23_TD01.binwaren lautbinwalkmit OpenSSL verschlüsseltDer dritte Versuch,
US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin, war nicht verschlüsselt und zeigt, dass auch andere Modelle, die nicht in der Liste der von dieser CVE betroffenen Geräte stehen, betroffen sein könnten. In/squashfs-root/webroot_ro/default_ac.cfgunddefault_router.cfgdarin stehensys.rzadmin.username=rzadminundsys.rzadmin.password=cnphZG1pbg==; Base64-dekodiert ergibt dasrzadmin. Auchguest/guestist zu sehenBei einem schnellen Blick wird
sys.rzadmin.passwordnur in dem Kontext referenziert, in dem die Funktionlogin()von/bin/httpdden Wert abruft und vergleicht; bei einem Fehler erscheint"login err: password is wrong.". Ich konnte in keinem Teil der Firmware Code-Referenzen finden, über die Nutzer diesen Default-Wert ändern könntenNebenbei sammelt
imsd_upload_log_v1in/bin/imsdSSID, MAC- und IP-Adresse,sys.admin.username,sys.rzadmin.usernamesowie die Zeitzone, undimsd_remote_pwd_getruftsys.admin.passwordab. Die zugehörige Library/lib/lubucapi.sowirkt ebenfalls wie ein Binary, das sich genauer anzusehen lohnt; sie scheint einen Befehlssatz zu enthalten, der Cloud-Management oder Remote-Debugging von Tenda-Routern ermöglicht, und das könnte auch der Grund sein, warum esimsd_remote_pwd_getin/bin/imsdgibt