Tenda ファームウェアの複数バージョンに隠された認証バックドアを発見
(kb.cert.org)- 一部の Tenda ネットワーク機器のファームウェアに文書化されていない認証バックドアがあり、有効な認証情報なしで Web 管理インターフェースの管理者権限を取得できる
- CVE-2026-11405 は、通常のパスワード検証に失敗した後、
sys.rzadmin.passwordの値を代替パスワードのように確認する流れで動作する - 入力されたパスワードが設定値と一致すると、ユーザー名の検証なしに role=2 の管理者セッションが作成され、認証バイパスにつながる
- 影響範囲は FH1201、W15E、AC10、AC5、AC6 系列の特定ファームウェアバージョンで、悪用されると機器の再構成、ネットワーク設定の変更、セキュリティ機能の無効化が可能になる
- パッチがない状態のため、露出を減らすにはリモート Web 管理の無効化やデフォルト LAN IP の変更といった限定的な緩和策に頼る必要がある
認証バックドアの動作方式とリスク
- Tenda は、ルーター、スイッチ、無線アクセスポイント、映像監視機器など、家庭・企業向けネットワーク機器を提供している
- これらの機器の多くは設定と管理のために Web ベースのインターフェースを提供しており、通常はユーザー名とパスワードで保護されている
- 脆弱なファームウェアの
/bin/httpdバイナリには、login()関数内に文書化されていないバックドア認証メカニズムが含まれている- まず通常の認証経路で MD5 ベースのパスワード検証を行う
- 認証に失敗すると
GetValue("sys.rzadmin.password")を呼び出し、機器設定の代替パスワード値を取得する - その後、ユーザーが入力したパスワードと保存された設定値を平文の
strcmp()で直接比較する - 値が一致すると
role=2の管理者権限を付与し、有効なセッションを作成する
- この経路ではユーザー名の検証が欠けている
- どのようなユーザー名を入力しても、バックドアパスワードと一緒に送信されれば認証に成功する
- この認証メカニズムは文書化されておらず、管理インターフェースにも表示されない
- 悪用に成功すると、設定済みの管理者アカウントの認証情報とは無関係に、機器の Web インターフェースに対する完全な管理者アクセス権を得られる
- 機器を再構成できる
- ネットワーク設定を変更できる
- セキュリティ機能を無効化できる
- ローカルネットワークのより広範な侵害につながる可能性がある
影響を受けるファームウェアと現在の対応
- 影響を受けるファームウェアバージョン:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
- ベンダーとの脆弱性調整に失敗し、パッチは提供されていない
- 修正版が出るまでに可能な緩和策:
- リモート管理の無効化
- 機器がリモート Web 管理をサポートしている場合は、その機能を無効化すべきである
- 外部ネットワークの攻撃者がインターネット経由で機器の管理ダッシュボードにアクセスすることを防げる
- ローカルネットワークへの露出制限
- デフォルトの LAN IP アドレスを変更すると、既知のデフォルト IP 範囲を狙う自動スキャナーによる機会主義的な発見を減らせる
- この措置は、意図的または標的型のネットワークスキャンを防ぐものではない
- リモート管理の無効化
- 関連識別子と参考資料:
1件のコメント
Hacker Newsのコメント
記事には
sys.rzadmin.passwordの値は出ていないが、2022年の解析記事では公開されている: https://boschko.ca/tenda_ac1200_router/ネタバレ: 値は rzadmin で、ファームウェアの中にはほかにも興味深いものがかなりありそう
バックドアなら、少なくとももう少し隠そうとはしたはず :)
rzはドイツ語圏では RechenZentrum、つまり データセンター の一般的な略語なので、ドイツ語っぽく読める英語で言えば
dcadminみたいな感じ。「gute Deutsche Wertarbeit」なところに外注したのか、どこかの機関が楽しんだ痕跡なのか、誰かの煙幕なのかもしれないと思ってしまうTendaのことはよく知らなかったが、家庭/ビジネス向けのルーター、スイッチ、無線AP、映像監視機器の供給元とされていて、会社紹介は https://www.tendacn.com/us/profile にある
中国ブランドには、同じ内部部品で外装だけ変えたり、競合ブランドのようにリブランドしたりするケースが多いので、Tendaもそうかもしれないと思う。セキュリティカメラ方面でそういうものを見たことがある
投稿者たちには、ファームウェアのバージョンだけでなく 脆弱性の確認方法 も提供してほしかった。Tendaがパスワードだけ変えて「もう安全です」と言うこともできるから
10年ほど前に買った 電力線イーサネットアダプター が、まだどこかの戸棚にある。当時は管理者パスワードが
adminなのが標準に近く、機器本体に印刷されていることも多かった国営企業のようなところではないので、ものすごく邪悪な意図というよりは、品質を本当に気にしていない方面に近いと思う
「接続されたユーザー名は検証しないため、どんなユーザー名でもバックドアのパスワードと一緒に使えば成功する」とは大したものだ
こんなメーカーをなぜ顧客が信用すべきなのか分からない。今後はベンダー提供の ブラックボックスなファームウェア が入ったルーターは絶対に使わないと思う
使う前には必ずOpenWRTのようなものを入れるし、何らかの理由でそれが不可能なら、そういう機器は購入を検討すらしない
集合住宅のように無線網が混み合っている場所では、カバレッジ、信号強度、スループットを確保するのにこれらの機能が重要になる。OpenWRT側で回避策を見つけたのか、それともメーカーがロード可能なファームウェアを使うオープンドライバーにより協力的になったのか気になる
そうなると専用の スイッチチップ を使う機器より、電力効率がはるかに悪くならざるを得ない
ネットワーク機器メーカーがここまで一貫してゴミを作り続けているのは驚きだ
しかもいつも素人っぽいバックドアだ。いっそ精巧だったなら、「たぶんどこかのセキュリティ機関にやらされたのだろう」と流せる余地もあったと思う
あるいは、わざと見つかるように素人レベルで入れているのかもしれない
これはむしろありがたい。Tendaのキューブルーターをいくつか持っているが、実質的にはWiFi中継器にメッシュ機能を少し載せた程度なのに、ファームウェアがアプリに縛られすぎていてずっと嫌だった
これで rootアクセス によりアプリの回避がずっと簡単になり、緑ランプ表示のために
microsoft.comへDNSクエリを投げ続けるpingメカニズムも止められそうだ正直これは悪意あるニュアンスの「バックドア」というより、ファームウェアに埋め込まれてしまった開発者用アクセス資格情報、またはデフォルト資格情報に近く見える。おそらくコード自体は残しつつ、製造過程でキーをランダム化して推測不能にする流れだったのに、その追加ステップを面倒がって実行しなかったか、製造設定なしで元のファームウェアを書き込んでしまい、漏れたのだと思う
rzadminにランダム化されるのだ。科学者たちも困惑しているだから私は汎用ハードウェアとLinuxディストリビューションで ルーター/ファイアウォールを自作構成 している
ipchainsでこれをやっていた記憶がある。当時は、それほど高くないルーターを手に入れる唯一の方法だったその後になってコンシューマー/プロシューマー向けルーターが出てきたが、結局、古いものがまた新しくなったというわけだ
ホテルのWiFiが得体の知れない厄介なもののようだった時代に、Tendaの旅行用WiFi製品を使ったことがある。
今ではeSIMと一般的な旅行用インターネット料金プランのおかげで、ホテルWiFiのほうがむしろ最も信用しにくい接続経路かもしれず、あえて必要ではなさそう。
同じ価格帯の無料配布品のMikrotik機器も1台持っているが、物理的により小さく、本流のコードに見えるものを動かしている。Mikrotikの品質について何と言うにせよ、望むほぼすべての設定ノブを提供してはくれる。
すべてのユーザーはそれぞれのVLANにいて、部屋ごとに別々のPPSKを使う。認証情報も姓+部屋番号のようなばかげたパターンではなく、ランダムに生成している。独自の入退室管理システムも作り、当時見つけられた中で最も強力なキーカードであるMIFARE DESFire EV3を使った。セキュリティが冗談のように見えないホテルを作ろうと本当に努力している。
米国/イスラエルは絶対にこんなことはしないだろうから、UniFi/Fortinet/Palo Altoを買えばいいわけだね!
例: https://www.thestack.technology/cisco-hard-coding-passwords-...
私の
ifconfigは単純だ。Shenzhenで作られたものなら捨てる。最近のTendaのハードウェア/ファームウェアは、以下の例のように暗号化されており、監査がより難しくなっているように見える。
binwalkで見たUS_AC10V6.0si_V16.03.62.09_multi_TDE01.binとUS_BE12ProV1.0mt_V16.03.66.23_TD01.binにはOpenSSL暗号化がかかっていた。3つ目に試した
US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).binは暗号化されておらず、このCVEの影響リストにない別モデルにも問題がある可能性を示している。内部の/squashfs-root/webroot_ro/default_ac.cfgとdefault_router.cfgにはsys.rzadmin.username=rzadmin、sys.rzadmin.password=cnphZG1pbg==があり、Base64でデコードするとrzadminになる。guest/guestも見える。ざっと見たところ、
sys.rzadmin.passwordは/bin/httpdのlogin()関数で値を取得して比較する文脈でのみ参照され、間違っていると"login err: password is wrong."が出る。ファームウェアのどの部分にも、このデフォルト値をユーザーに変更させるコード参照は見つからなかった。おまけに、
/bin/imsdのimsd_upload_log_v1はSSID、MAC、IPアドレス、sys.admin.username、sys.rzadmin.username、タイムゾーンを収集し、imsd_remote_pwd_getはsys.admin.passwordを取得する。関連ライブラリの/lib/lubucapi.soもさらに調べる価値のあるバイナリに見え、Tendaルーターのクラウド管理やリモートデバッグを可能にするコマンド群を含んでいるようで、/bin/imsdにimsd_remote_pwd_getがある理由もそのためかもしれない。