Специалисты CERT Coordination Center (CERT/CC) в понедельник сообщили о находке, которая заставляет усомниться в честности китайского производителя сетевого оборудования Tenda. В прошивке нескольких моделей роутеров обнаружили недокументированную лазейку для входа — по сути, второй, скрытый пароль администратора, о существовании которого не подозревали даже владельцы устройств.
Уязвимости присвоили номер CVE-2026-11405. Заявку подал анонимный исследователь, пожелавший остаться неизвестным. На момент публикации патча от Tenda нет — устройства с этой прошивкой продолжают работать в текущем виде, и производитель пока никак не отреагировал на запрос The Hacker News, который направил редакции материал для комментария.
Список затронутых прошивок выглядит так:
Отдельного внимания заслуживает то, как устроена проверка имени пользователя. Разработчики привязали лазейку к учётке с логином "rzadmin", но при этом поле логина вообще не проверяется системой. Иными словами, ввести можно что угодно — хоть случайный набор символов, — и если во втором поле стоит правильный пароль-бэкдор, доступ откроется всё равно. Никакой видимой связи с интерфейсом администрирования эта функция не имеет: в настройках устройства пользователь её не найдёт, ни через веб-панель, ни через штатные средства управления.
Что это даёт злоумышленнику на практике? Полный контроль над веб-интерфейсом устройства без необходимости знать реальный пароль владельца. Атакующий может менять настройки роутера удалённо, отключать функции безопасности, перенастраивать сетевые параметры — по сути, забирать устройство себе целиком, оставляя легитимного администратора ни с чем.
Пока производитель молчит, CERT/CC советует владельцам уязвимых моделей два простых, но действенных шага. Первое — отключить удалённое управление устройством, чтобы к панели администрирования нельзя было достучаться из интернета. Второе — сменить IP-адрес локальной сети по умолчанию. Это не устраняет саму уязвимость, зато усложняет жизнь автоматическим сканерам, которые массово прощупывают известные диапазоны заводских адресов в поисках лёгкой добычи, и снижает шанс случайного обнаружения устройства посторонними.
История с Tenda в очередной раз поднимает вопрос доверия к прошивкам бюджетных сетевых устройств, которые массово продаются по всему миру, включая российский рынок. Пока нет официального патча, единственная защита — временные меры и внимательность самих пользователей.
Уязвимости присвоили номер CVE-2026-11405. Заявку подал анонимный исследователь, пожелавший остаться неизвестным. На момент публикации патча от Tenda нет — устройства с этой прошивкой продолжают работать в текущем виде, и производитель пока никак не отреагировал на запрос The Hacker News, который направил редакции материал для комментария.
Список затронутых прошивок выглядит так:
- []US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
[]US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
[]US_AC10V1.0re_V15.03.06.46_multi_TDE01
[]US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
[]US_AC6V2.0RTL_V15.03.06.51_multi_T
Отдельного внимания заслуживает то, как устроена проверка имени пользователя. Разработчики привязали лазейку к учётке с логином "rzadmin", но при этом поле логина вообще не проверяется системой. Иными словами, ввести можно что угодно — хоть случайный набор символов, — и если во втором поле стоит правильный пароль-бэкдор, доступ откроется всё равно. Никакой видимой связи с интерфейсом администрирования эта функция не имеет: в настройках устройства пользователь её не найдёт, ни через веб-панель, ни через штатные средства управления.
Что это даёт злоумышленнику на практике? Полный контроль над веб-интерфейсом устройства без необходимости знать реальный пароль владельца. Атакующий может менять настройки роутера удалённо, отключать функции безопасности, перенастраивать сетевые параметры — по сути, забирать устройство себе целиком, оставляя легитимного администратора ни с чем.
Пока производитель молчит, CERT/CC советует владельцам уязвимых моделей два простых, но действенных шага. Первое — отключить удалённое управление устройством, чтобы к панели администрирования нельзя было достучаться из интернета. Второе — сменить IP-адрес локальной сети по умолчанию. Это не устраняет саму уязвимость, зато усложняет жизнь автоматическим сканерам, которые массово прощупывают известные диапазоны заводских адресов в поисках лёгкой добычи, и снижает шанс случайного обнаружения устройства посторонними.
История с Tenda в очередной раз поднимает вопрос доверия к прошивкам бюджетных сетевых устройств, которые массово продаются по всему миру, включая российский рынок. Пока нет официального патча, единственная защита — временные меры и внимательность самих пользователей.