- Beberapa firmware perangkat jaringan Tenda memiliki backdoor autentikasi yang tidak terdokumentasi, sehingga hak admin pada antarmuka manajemen web dapat diperoleh tanpa kredensial yang valid
- CVE-2026-11405 bekerja melalui alur yang, setelah validasi kata sandi biasa gagal, memeriksa nilai
sys.rzadmin.passwordseperti kata sandi alternatif - Jika kata sandi yang dimasukkan cocok dengan nilai konfigurasi, sesi admin role=2 dibuat tanpa validasi nama pengguna, yang berujung pada bypass autentikasi
- Cakupan dampaknya adalah versi firmware tertentu pada lini FH1201, W15E, AC10, AC5, dan AC6; jika dieksploitasi, penyerang dapat mengonfigurasi ulang perangkat, mengubah pengaturan jaringan, dan menonaktifkan fitur keamanan
- Karena belum ada patch, untuk mengurangi paparan harus mengandalkan mitigasi terbatas seperti menonaktifkan manajemen web jarak jauh dan mengubah IP LAN bawaan
Cara kerja dan risiko backdoor autentikasi
- Tenda memasok perangkat jaringan untuk rumah dan perusahaan, seperti router, switch, access point nirkabel, dan perangkat pengawasan video
- Banyak dari perangkat ini menyediakan antarmuka berbasis web untuk konfigurasi dan manajemen, yang umumnya dilindungi dengan nama pengguna dan kata sandi
- Pada binary
/bin/httpddi firmware yang rentan, terdapat mekanisme autentikasi backdoor yang tidak terdokumentasi di dalam fungsilogin()- Pertama, jalur autentikasi normal melakukan validasi kata sandi berbasis MD5
- Jika autentikasi gagal, fungsi memanggil
GetValue("sys.rzadmin.password")untuk mengambil nilai kata sandi alternatif dari konfigurasi perangkat - Setelah itu, kata sandi yang dimasukkan pengguna dibandingkan langsung dengan nilai tersimpan di konfigurasi menggunakan
strcmp()plaintext - Jika nilainya cocok, hak admin
role=2diberikan dan sesi yang valid dibuat
- Pada jalur ini, validasi nama pengguna tidak ada
- Nama pengguna apa pun akan berhasil diautentikasi jika dikirim bersama kata sandi backdoor
- Mekanisme autentikasi tersebut tidak terdokumentasi dan tidak ditampilkan di antarmuka manajemen
- Jika eksploitasi berhasil, penyerang dapat memperoleh akses admin penuh ke antarmuka web perangkat terlepas dari kredensial akun admin yang dikonfigurasi
- Dapat mengonfigurasi ulang perangkat
- Dapat mengubah pengaturan jaringan
- Dapat menonaktifkan fitur keamanan
- Dapat berujung pada kompromi yang lebih luas di jaringan lokal
Firmware terdampak dan respons saat ini
- Versi firmware yang terdampak:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
- Koordinasi kerentanan dengan vendor gagal, sehingga tidak ada patch yang tersedia
- Mitigasi yang memungkinkan hingga versi perbaikan tersedia:
- Nonaktifkan manajemen jarak jauh
- Jika perangkat mendukung manajemen web jarak jauh, fitur tersebut harus dinonaktifkan
- Ini dapat mencegah penyerang dari jaringan eksternal mengakses dashboard manajemen perangkat melalui internet
- Batasi paparan jaringan lokal
- Mengubah alamat IP LAN bawaan dapat mengurangi penemuan oportunistik oleh scanner otomatis yang menargetkan rentang IP bawaan yang dikenal
- Langkah ini tidak mencegah pemindaian jaringan yang disengaja atau tertarget
- Nonaktifkan manajemen jarak jauh
- Identifier dan referensi terkait:
1 komentar
Opini Hacker News
Artikel tersebut tidak mencantumkan nilai
sys.rzadmin.password, tetapi sudah dipublikasikan dalam tulisan analisis tahun 2022: https://boschko.ca/tenda_ac1200_router/Spoiler: nilainya adalah rzadmin, dan tampaknya ada cukup banyak hal menarik lain di dalam firmware itu
Kalau backdoor, setidaknya rasanya mereka akan berusaha membuatnya sedikit lebih tersembunyi :)
rzterbaca seperti bahasa Jerman, karena di wilayah berbahasa Jerman itu singkatan umum untuk RechenZentrum, yaitu data centerDalam bahasa Inggris rasanya seperti
dcadmin. Membuat saya berpikir apakah mereka mengalihdayakan ke pihak yang melakukan “gute Deutsche Wertarbeit”, atau ada jejak suatu lembaga yang bersenang-senang, atau mungkin ini sekadar tabir asap seseorangSaya tidak terlalu mengenal Tenda, tetapi disebut sebagai pemasok router, switch, AP nirkabel, dan perangkat pengawasan video untuk rumah/bisnis, dan profil perusahaannya ada di https://www.tendacn.com/us/profile
Di antara merek Tiongkok, sering ada kasus komponen internal yang sama hanya diganti casing-nya atau di-rebrand seperti merek pesaing, jadi saya pikir Tenda juga mungkin begitu. Saya pernah melihat hal seperti itu di bidang kamera keamanan
Akan lebih baik kalau para penulis juga menyediakan cara memverifikasi kerentanan, bukan hanya versi firmware. Karena Tenda bisa saja hanya mengganti kata sandinya lalu berkata “sekarang aman”
Adaptor Ethernet powerline yang saya beli sekitar 10 tahun lalu masih ada di suatu lemari. Saat itu kata sandi admin
adminhampir menjadi standar, dan sering juga dicetak langsung pada perangkatKarena mereka bukan semacam BUMN, saya rasa ini lebih dekat ke benar-benar tidak peduli soal kualitas daripada niat yang sangat jahat
“Nama pengguna yang terhubung tidak diverifikasi, jadi nama pengguna apa pun akan berhasil jika dipakai bersama kata sandi backdoor” — luar biasa
Saya tidak tahu kenapa pelanggan harus percaya pada produsen seperti ini. Rasanya mulai sekarang saya tidak akan pernah memakai router dengan firmware black-box dari vendor
Sebelum dipakai, saya akan selalu memasang sesuatu seperti OpenWRT, dan kalau karena alasan apa pun itu tidak mungkin, saya bahkan tidak akan mempertimbangkan membeli perangkat seperti itu
Di tempat seperti kompleks apartemen yang jaringan nirkabelnya padat dan sesak, fitur-fitur ini penting untuk mendapatkan cakupan, kekuatan sinyal, dan throughput. Saya penasaran apakah pihak OpenWRT sudah menemukan workaround, atau apakah produsen sudah menjadi lebih kooperatif terhadap driver terbuka yang memakai firmware yang dapat dimuat
Kalau begitu, efisiensi dayanya pasti jauh lebih buruk dibanding perangkat yang memakai chip switch khusus
Mengejutkan bahwa perusahaan perangkat jaringan secara konsisten menghasilkan sampah seperti ini
Ditambah lagi, backdoor-nya selalu terasa amatiran. Kalau saja lebih canggih, masih ada ruang untuk menganggap “mungkin ada lembaga keamanan tertentu yang menyuruhnya” dan memakluminya
Atau bisa juga sengaja dibuat level amatiran agar ditemukan
Ini malah kabar baik. Saya punya beberapa router kubus Tenda, yang pada dasarnya cuma repeater WiFi dengan sedikit fitur mesh, tetapi saya selalu tidak suka karena firmware-nya terlalu terikat pada aplikasi
Sekarang dengan akses root, akan jauh lebih mudah melewati aplikasi, dan saya juga bisa mematikan mekanisme ping yang terus mengirim kueri DNS ke
microsoft.comdemi menampilkan lampu hijauSejujurnya, ini lebih terlihat seperti kredensial akses developer atau kredensial bawaan yang tertanam di firmware daripada “backdoor” bernuansa jahat. Mungkin alurnya adalah kodenya tetap ada, tetapi pada proses produksi kuncinya diacak agar tidak bisa ditebak; lalu langkah tambahan itu tidak dijalankan karena merepotkan, atau firmware asli dibakar tanpa konfigurasi produksi, sehingga bocor
rzadmin. Para ilmuwan pun sedang kebingunganKarena itu saya menyusun sendiri router/firewall dengan hardware serbaguna dan distro Linux
ipchainspada akhir 90-an. Saat itu, itu satu-satunya cara mendapatkan router yang tidak terlalu mahalBaru setelah itu router konsumen/prosumer muncul, dan pada akhirnya yang lama menjadi baru lagi
Saya pernah memakai produk WiFi perjalanan dari Tenda pada masa ketika WiFi hotel terasa seperti makhluk aneh
Sekarang, berkat eSIM dan paket internet perjalanan yang umum, WiFi hotel justru mungkin menjadi jalur koneksi yang paling sulit dipercaya, jadi rasanya tidak terlalu perlu lagi
Saya juga punya satu perangkat Mikrotik gratisan di kisaran harga yang sama; secara fisik lebih kecil dan menjalankan sesuatu yang terlihat seperti kode arus utama. Apa pun pendapat orang soal kualitas Mikrotik, mereka memang menyediakan hampir semua kenop pengaturan yang diinginkan
Setiap pengguna berada di VLAN masing-masing, dan tiap kamar memakai PPSK terpisah. Kredensialnya juga dibuat acak, bukan pola konyol seperti nama belakang + nomor kamar. Kami juga membuat sistem kontrol akses sendiri, dan memakai MIFARE DESFire EV3, kartu kunci terkuat yang bisa kami temukan saat itu. Kami benar-benar berusaha membuat hotel yang keamanannya tidak tampak seperti lelucon
Amerika Serikat/Israel pasti tidak akan pernah melakukan hal seperti ini, jadi tinggal beli UniFi/Fortinet/Palo Alto saja ya!
Contoh: https://www.thestack.technology/cisco-hard-coding-passwords-...
ifconfigsaya sederhana. Kalau dibuat di Shenzhen, buangHardware/firmware Tenda terbaru tampaknya terenkripsi seperti contoh di bawah ini, sehingga audit menjadi lebih sulit
US_AC10V6.0si_V16.03.62.09_multi_TDE01.bindanUS_BE12ProV1.0mt_V16.03.66.23_TD01.binyang dilihat denganbinwalkmenggunakan enkripsi OpenSSLFirmware ketiga yang saya coba,
US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin, tidak terenkripsi, dan menunjukkan bahwa model lain yang tidak ada dalam daftar terdampak CVE ini pun mungkin bermasalah. Di dalamnya,/squashfs-root/webroot_ro/default_ac.cfgdandefault_router.cfgmemuatsys.rzadmin.username=rzadmin,sys.rzadmin.password=cnphZG1pbg==, yang jika didekode dari Base64 menjadirzadmin.guest/guestjuga terlihatDari pemeriksaan cepat,
sys.rzadmin.passwordhanya dirujuk dalam konteks fungsilogin()di/bin/httpdyang mengambil nilainya lalu membandingkannya; jika salah, muncul"login err: password is wrong.". Saya tidak menemukan referensi kode di bagian mana pun dari firmware yang memungkinkan pengguna mengubah nilai default iniSebagai tambahan,
imsd_upload_log_v1di/bin/imsdmengumpulkan SSID, MAC, alamat IP,sys.admin.username,sys.rzadmin.username, dan zona waktu, sementaraimsd_remote_pwd_getmengambilsys.admin.password. Library terkait/lib/lubucapi.sojuga tampak sebagai biner yang layak ditelusuri lebih lanjut; sepertinya memuat kumpulan perintah yang memungkinkan manajemen cloud atau debugging jarak jauh pada router Tenda, dan ini mungkin juga alasan adanyaimsd_remote_pwd_getdi/bin/imsd