1 ポイント 投稿者 GN⁺ 4 시간 전 | 1件のコメント | WhatsAppで共有
  • 一部の Tenda ネットワーク機器のファームウェアに文書化されていない認証バックドアがあり、有効な認証情報なしで Web 管理インターフェースの管理者権限を取得できる
  • CVE-2026-11405 は、通常のパスワード検証に失敗した後、sys.rzadmin.password の値を代替パスワードのように確認する流れで動作する
  • 入力されたパスワードが設定値と一致すると、ユーザー名の検証なしに role=2 の管理者セッションが作成され、認証バイパスにつながる
  • 影響範囲は FH1201、W15E、AC10、AC5、AC6 系列の特定ファームウェアバージョンで、悪用されると機器の再構成、ネットワーク設定の変更、セキュリティ機能の無効化が可能になる
  • パッチがない状態のため、露出を減らすにはリモート Web 管理の無効化やデフォルト LAN IP の変更といった限定的な緩和策に頼る必要がある

認証バックドアの動作方式とリスク

  • Tenda は、ルーター、スイッチ、無線アクセスポイント、映像監視機器など、家庭・企業向けネットワーク機器を提供している
  • これらの機器の多くは設定と管理のために Web ベースのインターフェースを提供しており、通常はユーザー名とパスワードで保護されている
  • 脆弱なファームウェアの /bin/httpd バイナリには、login() 関数内に文書化されていないバックドア認証メカニズムが含まれている
    • まず通常の認証経路で MD5 ベースのパスワード検証を行う
    • 認証に失敗すると GetValue("sys.rzadmin.password") を呼び出し、機器設定の代替パスワード値を取得する
    • その後、ユーザーが入力したパスワードと保存された設定値を平文の strcmp() で直接比較する
    • 値が一致すると role=2 の管理者権限を付与し、有効なセッションを作成する
  • この経路ではユーザー名の検証が欠けている
    • どのようなユーザー名を入力しても、バックドアパスワードと一緒に送信されれば認証に成功する
    • この認証メカニズムは文書化されておらず、管理インターフェースにも表示されない
  • 悪用に成功すると、設定済みの管理者アカウントの認証情報とは無関係に、機器の Web インターフェースに対する完全な管理者アクセス権を得られる
    • 機器を再構成できる
    • ネットワーク設定を変更できる
    • セキュリティ機能を無効化できる
    • ローカルネットワークのより広範な侵害につながる可能性がある

影響を受けるファームウェアと現在の対応

  • 影響を受けるファームウェアバージョン:
    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • ベンダーとの脆弱性調整に失敗し、パッチは提供されていない
  • 修正版が出るまでに可能な緩和策:
    • リモート管理の無効化
      • 機器がリモート Web 管理をサポートしている場合は、その機能を無効化すべきである
      • 外部ネットワークの攻撃者がインターネット経由で機器の管理ダッシュボードにアクセスすることを防げる
    • ローカルネットワークへの露出制限
      • デフォルトの LAN IP アドレスを変更すると、既知のデフォルト IP 範囲を狙う自動スキャナーによる機会主義的な発見を減らせる
      • この措置は、意図的または標的型のネットワークスキャンを防ぐものではない
  • 関連識別子と参考資料:

1件のコメント

 
GN⁺ 4 시간 전
Hacker Newsのコメント
  • 記事には sys.rzadmin.password の値は出ていないが、2022年の解析記事では公開されている: https://boschko.ca/tenda_ac1200_router/
    ネタバレ: 値は rzadmin で、ファームウェアの中にはほかにも興味深いものがかなりありそう

    • ここまで来ると バックドア というより、堂々とした正面玄関と呼んでもよさそう
    • このあたりになるとバックドアですらなく、昔のこういうハードウェアでよくあった 間抜けなデフォルトrootパスワード 設計に近い
      バックドアなら、少なくとももう少し隠そうとはしたはず :)
    • こんなに雑に隠されているなら、出荷前に削除し忘れた 開発者向け便利機能 に見える
    • 最後の通知からほぼ4年たってもパスワードがそのままなら、本当に無能なのか、それとも笑えるほど肝が据わっているのか
    • rz はドイツ語圏では RechenZentrum、つまり データセンター の一般的な略語なので、ドイツ語っぽく読める
      英語で言えば dcadmin みたいな感じ。「gute Deutsche Wertarbeit」なところに外注したのか、どこかの機関が楽しんだ痕跡なのか、誰かの煙幕なのかもしれないと思ってしまう
  • Tendaのことはよく知らなかったが、家庭/ビジネス向けのルーター、スイッチ、無線AP、映像監視機器の供給元とされていて、会社紹介は https://www.tendacn.com/us/profile にある
    中国ブランドには、同じ内部部品で外装だけ変えたり、競合ブランドのようにリブランドしたりするケースが多いので、Tendaもそうかもしれないと思う。セキュリティカメラ方面でそういうものを見たことがある
    投稿者たちには、ファームウェアのバージョンだけでなく 脆弱性の確認方法 も提供してほしかった。Tendaがパスワードだけ変えて「もう安全です」と言うこともできるから

    • Tendaはかなり昔からある会社なので、リブランドではなさそう
      10年ほど前に買った 電力線イーサネットアダプター が、まだどこかの戸棚にある。当時は管理者パスワードが admin なのが標準に近く、機器本体に印刷されていることも多かった
    • Tendaは アジアで非常によく見かけるブランド で、多くのISPが標準ルーターとして使っている
    • 「中国初の自社開発ルーターおよび無線ネットワーク機器メーカー」という主張もある
    • 元恋人がTendaの営業部で働いていたことがある。その前にもAmazonの安価な アンマネージドスイッチ の文脈で見たことはあった
      国営企業のようなところではないので、ものすごく邪悪な意図というよりは、品質を本当に気にしていない方面に近いと思う
    • 米国に住んでいるが、Tendaの WiFi USBドングル を持っている。他ブランドほど有名ではなくても、それなりに出回っている
  • 「接続されたユーザー名は検証しないため、どんなユーザー名でもバックドアのパスワードと一緒に使えば成功する」とは大したものだ
    こんなメーカーをなぜ顧客が信用すべきなのか分からない。今後はベンダー提供の ブラックボックスなファームウェア が入ったルーターは絶対に使わないと思う
    使う前には必ずOpenWRTのようなものを入れるし、何らかの理由でそれが不可能なら、そういう機器は購入を検討すらしない

    • 最後に見たとき、OpenWRTは複数の機器で MIMOとビームフォーミング 機能をきちんとサポートできていなかった
      集合住宅のように無線網が混み合っている場所では、カバレッジ、信号強度、スループットを確保するのにこれらの機能が重要になる。OpenWRT側で回避策を見つけたのか、それともメーカーがロード可能なファームウェアを使うオープンドライバーにより協力的になったのか気になる
    • 1Gbitを超えて使うことがあるのか? 理解が合っているなら、Mikrotik CCR2004のような良くて安価なルーターも完全にクローズドなので、唯一の代替は自分で粗末な箱を作ることだけになる
      そうなると専用の スイッチチップ を使う機器より、電力効率がはるかに悪くならざるを得ない
    • アプローチは良いが、そもそもセキュリティがルーターに依存していてはいけない。ルーターから来る攻撃にも耐えられるべきだ
  • ネットワーク機器メーカーがここまで一貫してゴミを作り続けているのは驚きだ
    しかもいつも素人っぽいバックドアだ。いっそ精巧だったなら、「たぶんどこかのセキュリティ機関にやらされたのだろう」と流せる余地もあったと思う

    • 発見されるバックドアが 素人レベル なだけかもしれない
      あるいは、わざと見つかるように素人レベルで入れているのかもしれない
    • 悲しい事実は、まともなセキュリティに追加料金を払う顧客が少なすぎることだ。払ったとしても、実際に受け取れるかはまた疑問だ
    • 偶然ゴミを作ったのではなく、計画に従い、意思決定をした結果に見える
  • これはむしろありがたい。Tendaのキューブルーターをいくつか持っているが、実質的にはWiFi中継器にメッシュ機能を少し載せた程度なのに、ファームウェアがアプリに縛られすぎていてずっと嫌だった
    これで rootアクセス によりアプリの回避がずっと簡単になり、緑ランプ表示のために microsoft.com へDNSクエリを投げ続けるpingメカニズムも止められそうだ
    正直これは悪意あるニュアンスの「バックドア」というより、ファームウェアに埋め込まれてしまった開発者用アクセス資格情報、またはデフォルト資格情報に近く見える。おそらくコード自体は残しつつ、製造過程でキーをランダム化して推測不能にする流れだったのに、その追加ステップを面倒がって実行しなかったか、製造設定なしで元のファームウェアを書き込んでしまい、漏れたのだと思う

    • コンシューマー機器に、なぜ ランダム化されたパスワード が必要なんだ?
    • その通り、ランダム化はされているが、宇宙の普遍的な確率波の性質により、常に rzadmin にランダム化されるのだ。科学者たちも困惑している
  • だから私は汎用ハードウェアとLinuxディストリビューションで ルーター/ファイアウォールを自作構成 している

    • 90年代後半に ipchains でこれをやっていた記憶がある。当時は、それほど高くないルーターを手に入れる唯一の方法だった
      その後になってコンシューマー/プロシューマー向けルーターが出てきたが、結局、古いものがまた新しくなったというわけだ
    • TendaはOpenWRTでのサポートがかなり良い
    • ISPから借りた標準ルーターから抜け出すために自作構成しようとしているところだが、おすすめの ハードウェアとディストリビューション が知りたい
  • ホテルのWiFiが得体の知れない厄介なもののようだった時代に、Tendaの旅行用WiFi製品を使ったことがある。
    今ではeSIMと一般的な旅行用インターネット料金プランのおかげで、ホテルWiFiのほうがむしろ最も信用しにくい接続経路かもしれず、あえて必要ではなさそう。
    同じ価格帯の無料配布品のMikrotik機器も1台持っているが、物理的により小さく、本流のコードに見えるものを動かしている。Mikrotikの品質について何と言うにせよ、望むほぼすべての設定ノブを提供してはくれる。

    • 今ホテルの仕事をしているが、WiFiをより安全にするためにかなり気を配った。
      すべてのユーザーはそれぞれのVLANにいて、部屋ごとに別々のPPSKを使う。認証情報も姓+部屋番号のようなばかげたパターンではなく、ランダムに生成している。独自の入退室管理システムも作り、当時見つけられた中で最も強力なキーカードであるMIFARE DESFire EV3を使った。セキュリティが冗談のように見えないホテルを作ろうと本当に努力している。
  • 米国/イスラエルは絶対にこんなことはしないだろうから、UniFi/Fortinet/Palo Altoを買えばいいわけだね!

    • 中国のファイアウォールの後ろに米国のファイアウォール、その後ろにロシアのファイアウォールを重ねて、互いのバックドアを防がせるというネットワーク図のミームが出回っていたことがある。
    • それらの会社、さらにCiscoまで含めると、「隠された認証バックドア」の量と速度に追いつくには、やるべきことが多いはずだ。
      例: https://www.thestack.technology/cisco-hard-coding-passwords-...
    • 冗談なのか分からないが、どちらもすでにそういうことをしている。そして米国企業は、要求があれば秘密命令に従ってバックドアを実装するよう強制される可能性がある。
  • 私のifconfigは単純だ。Shenzhenで作られたものなら捨てる。

    • 君の電子機器部品の半分以上はShenzhenで作られているはずだ。
  • 最近のTendaのハードウェア/ファームウェアは、以下の例のように暗号化されており、監査がより難しくなっているように見える。
    binwalkで見たUS_AC10V6.0si_V16.03.62.09_multi_TDE01.binUS_BE12ProV1.0mt_V16.03.66.23_TD01.binにはOpenSSL暗号化がかかっていた。
    3つ目に試したUS_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).binは暗号化されておらず、このCVEの影響リストにない別モデルにも問題がある可能性を示している。内部の/squashfs-root/webroot_ro/default_ac.cfgdefault_router.cfgにはsys.rzadmin.username=rzadminsys.rzadmin.password=cnphZG1pbg==があり、Base64でデコードするとrzadminになる。guest/guestも見える。
    ざっと見たところ、sys.rzadmin.password/bin/httpdlogin()関数で値を取得して比較する文脈でのみ参照され、間違っていると"login err: password is wrong."が出る。ファームウェアのどの部分にも、このデフォルト値をユーザーに変更させるコード参照は見つからなかった。
    おまけに、/bin/imsdimsd_upload_log_v1はSSID、MAC、IPアドレス、sys.admin.usernamesys.rzadmin.username、タイムゾーンを収集し、imsd_remote_pwd_getsys.admin.passwordを取得する。関連ライブラリの/lib/lubucapi.soもさらに調べる価値のあるバイナリに見え、Tendaルーターのクラウド管理やリモートデバッグを可能にするコマンド群を含んでいるようで、/bin/imsdimsd_remote_pwd_getがある理由もそのためかもしれない。