1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Beberapa firmware perangkat jaringan Tenda memiliki backdoor autentikasi yang tidak terdokumentasi, sehingga hak admin pada antarmuka manajemen web dapat diperoleh tanpa kredensial yang valid
  • CVE-2026-11405 bekerja melalui alur yang, setelah validasi kata sandi biasa gagal, memeriksa nilai sys.rzadmin.password seperti kata sandi alternatif
  • Jika kata sandi yang dimasukkan cocok dengan nilai konfigurasi, sesi admin role=2 dibuat tanpa validasi nama pengguna, yang berujung pada bypass autentikasi
  • Cakupan dampaknya adalah versi firmware tertentu pada lini FH1201, W15E, AC10, AC5, dan AC6; jika dieksploitasi, penyerang dapat mengonfigurasi ulang perangkat, mengubah pengaturan jaringan, dan menonaktifkan fitur keamanan
  • Karena belum ada patch, untuk mengurangi paparan harus mengandalkan mitigasi terbatas seperti menonaktifkan manajemen web jarak jauh dan mengubah IP LAN bawaan

Cara kerja dan risiko backdoor autentikasi

  • Tenda memasok perangkat jaringan untuk rumah dan perusahaan, seperti router, switch, access point nirkabel, dan perangkat pengawasan video
  • Banyak dari perangkat ini menyediakan antarmuka berbasis web untuk konfigurasi dan manajemen, yang umumnya dilindungi dengan nama pengguna dan kata sandi
  • Pada binary /bin/httpd di firmware yang rentan, terdapat mekanisme autentikasi backdoor yang tidak terdokumentasi di dalam fungsi login()
    • Pertama, jalur autentikasi normal melakukan validasi kata sandi berbasis MD5
    • Jika autentikasi gagal, fungsi memanggil GetValue("sys.rzadmin.password") untuk mengambil nilai kata sandi alternatif dari konfigurasi perangkat
    • Setelah itu, kata sandi yang dimasukkan pengguna dibandingkan langsung dengan nilai tersimpan di konfigurasi menggunakan strcmp() plaintext
    • Jika nilainya cocok, hak admin role=2 diberikan dan sesi yang valid dibuat
  • Pada jalur ini, validasi nama pengguna tidak ada
    • Nama pengguna apa pun akan berhasil diautentikasi jika dikirim bersama kata sandi backdoor
    • Mekanisme autentikasi tersebut tidak terdokumentasi dan tidak ditampilkan di antarmuka manajemen
  • Jika eksploitasi berhasil, penyerang dapat memperoleh akses admin penuh ke antarmuka web perangkat terlepas dari kredensial akun admin yang dikonfigurasi
    • Dapat mengonfigurasi ulang perangkat
    • Dapat mengubah pengaturan jaringan
    • Dapat menonaktifkan fitur keamanan
    • Dapat berujung pada kompromi yang lebih luas di jaringan lokal

Firmware terdampak dan respons saat ini

  • Versi firmware yang terdampak:
    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • Koordinasi kerentanan dengan vendor gagal, sehingga tidak ada patch yang tersedia
  • Mitigasi yang memungkinkan hingga versi perbaikan tersedia:
    • Nonaktifkan manajemen jarak jauh
      • Jika perangkat mendukung manajemen web jarak jauh, fitur tersebut harus dinonaktifkan
      • Ini dapat mencegah penyerang dari jaringan eksternal mengakses dashboard manajemen perangkat melalui internet
    • Batasi paparan jaringan lokal
      • Mengubah alamat IP LAN bawaan dapat mengurangi penemuan oportunistik oleh scanner otomatis yang menargetkan rentang IP bawaan yang dikenal
      • Langkah ini tidak mencegah pemindaian jaringan yang disengaja atau tertarget
  • Identifier dan referensi terkait:

1 komentar

 
GN⁺ 4 jam lalu
Opini Hacker News
  • Artikel tersebut tidak mencantumkan nilai sys.rzadmin.password, tetapi sudah dipublikasikan dalam tulisan analisis tahun 2022: https://boschko.ca/tenda_ac1200_router/
    Spoiler: nilainya adalah rzadmin, dan tampaknya ada cukup banyak hal menarik lain di dalam firmware itu

    • Pada titik ini, rasanya lebih pantas disebut pintu depan yang terang-terangan daripada backdoor
    • Kalau sudah begini, ini bukan backdoor, melainkan lebih mirip desain kata sandi root bawaan yang bodoh yang dulu umum pada hardware semacam ini
      Kalau backdoor, setidaknya rasanya mereka akan berusaha membuatnya sedikit lebih tersembunyi :)
    • Kalau disembunyikan seteceroboh ini, ini terlihat seperti fitur kenyamanan developer yang lupa dihapus sebelum distribusi
    • Kalau hampir 4 tahun setelah pemberitahuan terakhir kata sandinya masih sama, itu benar-benar tidak kompeten, atau keberanian yang konyol
    • rz terbaca seperti bahasa Jerman, karena di wilayah berbahasa Jerman itu singkatan umum untuk RechenZentrum, yaitu data center
      Dalam bahasa Inggris rasanya seperti dcadmin. Membuat saya berpikir apakah mereka mengalihdayakan ke pihak yang melakukan “gute Deutsche Wertarbeit”, atau ada jejak suatu lembaga yang bersenang-senang, atau mungkin ini sekadar tabir asap seseorang
  • Saya tidak terlalu mengenal Tenda, tetapi disebut sebagai pemasok router, switch, AP nirkabel, dan perangkat pengawasan video untuk rumah/bisnis, dan profil perusahaannya ada di https://www.tendacn.com/us/profile
    Di antara merek Tiongkok, sering ada kasus komponen internal yang sama hanya diganti casing-nya atau di-rebrand seperti merek pesaing, jadi saya pikir Tenda juga mungkin begitu. Saya pernah melihat hal seperti itu di bidang kamera keamanan
    Akan lebih baik kalau para penulis juga menyediakan cara memverifikasi kerentanan, bukan hanya versi firmware. Karena Tenda bisa saja hanya mengganti kata sandinya lalu berkata “sekarang aman”

    • Tenda adalah perusahaan yang cukup lama berdiri, jadi sepertinya bukan hasil rebranding
      Adaptor Ethernet powerline yang saya beli sekitar 10 tahun lalu masih ada di suatu lemari. Saat itu kata sandi admin admin hampir menjadi standar, dan sering juga dicetak langsung pada perangkat
    • Tenda adalah merek yang sangat umum di Asia, dan banyak ISP menggunakannya sebagai router bawaan
    • Ada juga klaim bahwa mereka adalah “produsen router dan peralatan jaringan nirkabel hasil pengembangan sendiri pertama di Tiongkok”
    • Mantan pacar saya pernah bekerja di departemen penjualan Tenda. Bahkan sebelum itu pun saya pernah melihatnya dalam konteks switch unmanaged murah di Amazon
      Karena mereka bukan semacam BUMN, saya rasa ini lebih dekat ke benar-benar tidak peduli soal kualitas daripada niat yang sangat jahat
    • Saya tinggal di AS dan punya dongle USB WiFi Tenda. Tidak seterkenal merek lain, tetapi cukup banyak beredar
  • “Nama pengguna yang terhubung tidak diverifikasi, jadi nama pengguna apa pun akan berhasil jika dipakai bersama kata sandi backdoor” — luar biasa
    Saya tidak tahu kenapa pelanggan harus percaya pada produsen seperti ini. Rasanya mulai sekarang saya tidak akan pernah memakai router dengan firmware black-box dari vendor
    Sebelum dipakai, saya akan selalu memasang sesuatu seperti OpenWRT, dan kalau karena alasan apa pun itu tidak mungkin, saya bahkan tidak akan mempertimbangkan membeli perangkat seperti itu

    • Terakhir kali saya lihat, OpenWRT tidak mendukung fitur MIMO dan beamforming dengan benar di banyak perangkat
      Di tempat seperti kompleks apartemen yang jaringan nirkabelnya padat dan sesak, fitur-fitur ini penting untuk mendapatkan cakupan, kekuatan sinyal, dan throughput. Saya penasaran apakah pihak OpenWRT sudah menemukan workaround, atau apakah produsen sudah menjadi lebih kooperatif terhadap driver terbuka yang memakai firmware yang dapat dimuat
    • Apakah ada yang memakai lebih dari 1 Gbit? Kalau pemahaman saya benar, router yang bagus dan murah seperti Mikrotik CCR2004 pun sepenuhnya tertutup, jadi satu-satunya alternatif adalah merakit sendiri kotak seadanya
      Kalau begitu, efisiensi dayanya pasti jauh lebih buruk dibanding perangkat yang memakai chip switch khusus
    • Pendekatannya bagus, tetapi sejak awal keamanan seharusnya tidak bergantung pada router. Kita harus bisa bertahan bahkan terhadap serangan yang datang dari router
  • Mengejutkan bahwa perusahaan perangkat jaringan secara konsisten menghasilkan sampah seperti ini
    Ditambah lagi, backdoor-nya selalu terasa amatiran. Kalau saja lebih canggih, masih ada ruang untuk menganggap “mungkin ada lembaga keamanan tertentu yang menyuruhnya” dan memakluminya

    • Bisa jadi backdoor yang ditemukan memang level amatiran
      Atau bisa juga sengaja dibuat level amatiran agar ditemukan
    • Fakta menyedihkannya adalah terlalu sedikit pelanggan yang mau membayar ekstra untuk keamanan yang layak. Kalaupun mereka membayar, masih jadi pertanyaan apakah mereka benar-benar akan mendapatkannya
    • Ini tidak terlihat seperti sampah yang dibuat karena tidak sengaja, melainkan hasil dari mengikuti rencana dan mengambil keputusan
  • Ini malah kabar baik. Saya punya beberapa router kubus Tenda, yang pada dasarnya cuma repeater WiFi dengan sedikit fitur mesh, tetapi saya selalu tidak suka karena firmware-nya terlalu terikat pada aplikasi
    Sekarang dengan akses root, akan jauh lebih mudah melewati aplikasi, dan saya juga bisa mematikan mekanisme ping yang terus mengirim kueri DNS ke microsoft.com demi menampilkan lampu hijau
    Sejujurnya, ini lebih terlihat seperti kredensial akses developer atau kredensial bawaan yang tertanam di firmware daripada “backdoor” bernuansa jahat. Mungkin alurnya adalah kodenya tetap ada, tetapi pada proses produksi kuncinya diacak agar tidak bisa ditebak; lalu langkah tambahan itu tidak dijalankan karena merepotkan, atau firmware asli dibakar tanpa konfigurasi produksi, sehingga bocor

    • Kenapa perangkat konsumen membutuhkan kata sandi yang diacak?
    • Benar, memang diacak, tetapi karena sifat gelombang probabilitas universal alam semesta, hasil acaknya selalu menjadi rzadmin. Para ilmuwan pun sedang kebingungan
  • Karena itu saya menyusun sendiri router/firewall dengan hardware serbaguna dan distro Linux

    • Saya ingat melakukan ini dengan ipchains pada akhir 90-an. Saat itu, itu satu-satunya cara mendapatkan router yang tidak terlalu mahal
      Baru setelah itu router konsumen/prosumer muncul, dan pada akhirnya yang lama menjadi baru lagi
    • Tenda cukup didukung dengan baik di OpenWRT
    • Saya sedang mencoba menyusun sendiri agar bisa lepas dari router bawaan yang dipinjamkan ISP, dan penasaran hardware serta distro apa yang direkomendasikan
  • Saya pernah memakai produk WiFi perjalanan dari Tenda pada masa ketika WiFi hotel terasa seperti makhluk aneh
    Sekarang, berkat eSIM dan paket internet perjalanan yang umum, WiFi hotel justru mungkin menjadi jalur koneksi yang paling sulit dipercaya, jadi rasanya tidak terlalu perlu lagi
    Saya juga punya satu perangkat Mikrotik gratisan di kisaran harga yang sama; secara fisik lebih kecil dan menjalankan sesuatu yang terlihat seperti kode arus utama. Apa pun pendapat orang soal kualitas Mikrotik, mereka memang menyediakan hampir semua kenop pengaturan yang diinginkan

    • Saat ini saya sedang mengerjakan proyek hotel, dan kami cukup banyak memperhatikan cara membuat WiFi lebih aman
      Setiap pengguna berada di VLAN masing-masing, dan tiap kamar memakai PPSK terpisah. Kredensialnya juga dibuat acak, bukan pola konyol seperti nama belakang + nomor kamar. Kami juga membuat sistem kontrol akses sendiri, dan memakai MIFARE DESFire EV3, kartu kunci terkuat yang bisa kami temukan saat itu. Kami benar-benar berusaha membuat hotel yang keamanannya tidak tampak seperti lelucon
  • Amerika Serikat/Israel pasti tidak akan pernah melakukan hal seperti ini, jadi tinggal beli UniFi/Fortinet/Palo Alto saja ya!

    • Dulu pernah beredar meme diagram jaringan yang menumpuk firewall Amerika di belakang firewall Tiongkok, lalu firewall Rusia di belakangnya, supaya backdoor masing-masing saling memblokir
    • Perusahaan-perusahaan itu, termasuk Cisco juga, masih punya banyak pekerjaan kalau ingin mengejar jumlah dan laju “backdoor autentikasi tersembunyi”
      Contoh: https://www.thestack.technology/cisco-hard-coding-passwords-...
    • Entah ini bercanda atau tidak, tapi keduanya sudah pernah melakukan hal semacam itu. Dan perusahaan Amerika bisa dipaksa menerapkan backdoor berdasarkan perintah rahasia jika ada permintaan
  • ifconfig saya sederhana. Kalau dibuat di Shenzhen, buang

    • Lebih dari separuh komponen elektronikmu kemungkinan besar dibuat di Shenzhen
  • Hardware/firmware Tenda terbaru tampaknya terenkripsi seperti contoh di bawah ini, sehingga audit menjadi lebih sulit
    US_AC10V6.0si_V16.03.62.09_multi_TDE01.bin dan US_BE12ProV1.0mt_V16.03.66.23_TD01.bin yang dilihat dengan binwalk menggunakan enkripsi OpenSSL
    Firmware ketiga yang saya coba, US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin, tidak terenkripsi, dan menunjukkan bahwa model lain yang tidak ada dalam daftar terdampak CVE ini pun mungkin bermasalah. Di dalamnya, /squashfs-root/webroot_ro/default_ac.cfg dan default_router.cfg memuat sys.rzadmin.username=rzadmin, sys.rzadmin.password=cnphZG1pbg==, yang jika didekode dari Base64 menjadi rzadmin. guest/guest juga terlihat
    Dari pemeriksaan cepat, sys.rzadmin.password hanya dirujuk dalam konteks fungsi login() di /bin/httpd yang mengambil nilainya lalu membandingkannya; jika salah, muncul "login err: password is wrong.". Saya tidak menemukan referensi kode di bagian mana pun dari firmware yang memungkinkan pengguna mengubah nilai default ini
    Sebagai tambahan, imsd_upload_log_v1 di /bin/imsd mengumpulkan SSID, MAC, alamat IP, sys.admin.username, sys.rzadmin.username, dan zona waktu, sementara imsd_remote_pwd_get mengambil sys.admin.password. Library terkait /lib/lubucapi.so juga tampak sebagai biner yang layak ditelusuri lebih lanjut; sepertinya memuat kumpulan perintah yang memungkinkan manajemen cloud atau debugging jarak jauh pada router Tenda, dan ini mungkin juga alasan adanya imsd_remote_pwd_get di /bin/imsd