1 points par GN⁺ 4 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Certains firmwares d’équipements réseau Tenda contiennent une porte dérobée d’authentification non documentée, permettant d’obtenir les privilèges administrateur de l’interface d’administration web sans identifiants valides
  • CVE-2026-11405 fonctionne selon un flux où, après l’échec de la vérification normale du mot de passe, la valeur sys.rzadmin.password est vérifiée comme mot de passe alternatif
  • Si le mot de passe saisi correspond à cette valeur de configuration, une session administrateur role=2 est créée sans vérification du nom d’utilisateur, ce qui conduit à un contournement de l’authentification
  • Le périmètre affecté couvre certaines versions de firmware des gammes FH1201, W15E, AC10, AC5 et AC6, et une exploitation permet de reconfigurer l’appareil, modifier les paramètres réseau et désactiver des fonctions de sécurité
  • En l’absence de correctif, il faut s’appuyer sur des mesures d’atténuation limitées, comme la désactivation de l’administration web à distance et le changement de l’adresse IP LAN par défaut, pour réduire l’exposition

Fonctionnement et risques de la porte dérobée d’authentification

  • Tenda fournit des équipements réseau pour les particuliers et les entreprises, notamment des routeurs, commutateurs, points d’accès sans fil et équipements de vidéosurveillance
  • Beaucoup de ces appareils proposent une interface web pour la configuration et l’administration, généralement protégée par un nom d’utilisateur et un mot de passe
  • Le binaire /bin/httpd des firmwares vulnérables contient, dans la fonction login(), un mécanisme d’authentification dérobé non documenté
    • Il exécute d’abord la vérification normale du mot de passe, basée sur MD5
    • Si l’authentification échoue, il appelle GetValue("sys.rzadmin.password") pour récupérer dans la configuration de l’appareil une valeur de mot de passe alternative
    • Il compare ensuite directement en clair le mot de passe saisi par l’utilisateur et la valeur stockée, via strcmp()
    • Si les valeurs correspondent, il attribue les privilèges administrateur role=2 et crée une session valide
  • Dans ce flux, la vérification du nom d’utilisateur est absente
    • Quel que soit le nom d’utilisateur saisi, l’authentification réussit s’il est soumis avec le mot de passe de la porte dérobée
    • Ce mécanisme d’authentification n’est pas documenté et n’apparaît pas dans l’interface d’administration
  • Une exploitation réussie permet d’obtenir un accès administrateur complet à l’interface web de l’appareil, indépendamment des identifiants du compte administrateur configuré
    • Reconfiguration de l’appareil possible
    • Modification des paramètres réseau possible
    • Désactivation de fonctions de sécurité possible
    • Peut conduire à une compromission plus large du réseau local

Firmwares affectés et réponse actuelle

  • Versions de firmware affectées :
    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • La coordination de la vulnérabilité avec le fournisseur a échoué et aucun correctif n’est disponible
  • Mesures d’atténuation possibles en attendant une version corrigée :
    • Désactiver l’administration à distance
      • Si l’appareil prend en charge l’administration web à distance, cette fonction doit être désactivée
      • Cela permet d’empêcher des attaquants depuis des réseaux externes d’accéder au tableau de bord d’administration de l’appareil via Internet
    • Limiter l’exposition sur le réseau local
      • Changer l’adresse IP LAN par défaut peut réduire la détection opportuniste par des scanners automatisés visant les plages d’IP par défaut connues
      • Cette mesure ne bloque pas les scans réseau intentionnels ou ciblés
  • Identifiants et références associés :

1 commentaires

 
GN⁺ 4 시간 전
Avis sur Hacker News
  • L’article ne donne pas la valeur de sys.rzadmin.password, mais elle est publiée dans une analyse de 2022 : https://boschko.ca/tenda_ac1200_router/
    Spoiler : la valeur est rzadmin, et le firmware semble contenir pas mal d’autres choses intéressantes

    • À ce niveau-là, plutôt qu’une backdoor, on pourrait presque parler d’une porte d’entrée grande ouverte
    • À ce stade, ce n’est même pas une backdoor, ça ressemble davantage à la conception d’un mot de passe root par défaut stupide, comme on en voyait souvent sur ce type de matériel autrefois
      Une backdoor aurait au moins essayé d’être un peu plus discrète, je pense :)
    • Si c’est caché de manière aussi bâclée, ça ressemble à une fonction de confort pour développeurs qu’ils auraient oublié de retirer avant la distribution
    • Si le mot de passe est toujours le même près de 4 ans après la dernière notification, c’est soit une incompétence totale, soit un culot presque comique
    • rz se lit comme de l’allemand, car dans les pays germanophones c’est une abréviation courante de RechenZentrum, c’est-à-dire datacenter
      En anglais, ce serait un peu comme dcadmin. Ça donne l’impression qu’ils ont sous-traité à quelqu’un du genre « gute Deutsche Wertarbeit », ou que c’est la trace d’une agence qui s’est amusée, ou encore un écran de fumée de quelqu’un
  • Je ne connaissais pas bien Tenda, mais ils sont présentés comme un fournisseur de routeurs, switches, points d’accès sans fil et équipements de vidéosurveillance pour particuliers et entreprises, et leur présentation d’entreprise est ici : https://www.tendacn.com/us/profile
    Parmi les marques chinoises, il arrive souvent qu’un même matériel interne soit juste rhabillé avec un boîtier différent ou rebrandé comme une marque concurrente, donc je me demande si Tenda ne pourrait pas être dans ce cas. J’ai déjà vu ça du côté des caméras de sécurité
    J’aurais aimé que les auteurs fournissent aussi une méthode de vérification de la vulnérabilité, et pas seulement les versions de firmware. Tenda pourrait très bien changer uniquement le mot de passe et dire « maintenant c’est sûr »

    • Tenda est une entreprise assez ancienne, donc je doute que ce soit du rebranding
      J’ai encore quelque part dans un placard un adaptateur Ethernet CPL acheté il y a une dizaine d’années. À l’époque, un mot de passe administrateur admin était presque la norme, et il était souvent imprimé directement sur l’appareil
    • Tenda est une marque très répandue en Asie, et plusieurs FAI l’utilisent comme routeur fourni par défaut
    • Ils affirment aussi être « le premier fabricant chinois de routeurs et d’équipements réseau sans fil développés en interne »
    • Mon ex a travaillé au service commercial de Tenda. Avant ça, j’avais déjà vu la marque sur Amazon dans le contexte de switches non administrables bon marché
      Comme ce n’est pas une entreprise publique ou quelque chose du genre, je pencherais moins pour une intention extrêmement malveillante que pour un manque total de souci de la qualité
    • Je vis aux États-Unis et j’ai un dongle USB WiFi Tenda. Ce n’est pas aussi connu que d’autres marques, mais on en voit quand même pas mal
  • « Le nom d’utilisateur connecté n’est pas vérifié, donc n’importe quel nom d’utilisateur fonctionne avec le mot de passe de backdoor » : impressionnant
    Je ne vois pas pourquoi des clients devraient faire confiance à ce fabricant. À partir de maintenant, je pense ne plus jamais utiliser de routeur avec un firmware boîte noire fourni par le vendeur
    Avant utilisation, j’installerais toujours quelque chose comme OpenWRT, et si pour une raison quelconque ce n’est pas possible, je n’envisagerais même pas d’acheter ce matériel

    • La dernière fois que j’ai regardé, OpenWRT ne prenait pas correctement en charge MIMO et le beamforming sur plusieurs appareils
      Dans des endroits où les réseaux sans fil sont denses et saturés, comme les immeubles d’appartements, ces fonctions sont importantes pour assurer la couverture, la puissance du signal et le débit. Je me demande si OpenWRT a trouvé un contournement, ou si les fabricants sont devenus plus coopératifs avec les pilotes ouverts utilisant des firmwares chargeables
    • Y a-t-il des cas où l’on dépasse 1 Gbit ? Si j’ai bien compris, même de bons routeurs abordables comme le Mikrotik CCR2004 sont complètement fermés, donc la seule alternative est de bricoler soi-même une boîte bancale
      Dans ce cas, l’efficacité énergétique sera forcément bien moins bonne que celle d’un équipement utilisant une puce de switch dédiée
    • L’approche est bonne, mais la sécurité ne devrait pas dépendre du routeur dès le départ. Il faut pouvoir résister même aux attaques venant du routeur
  • C’est étonnant de voir les fabricants d’équipements réseau produire des cochonneries avec une telle constance
    Et en plus, ce sont toujours des backdoors d’amateurs. Si elles étaient au moins sophistiquées, on pourrait se dire « bon, une agence de sécurité a sûrement demandé ça » et passer à autre chose

    • Peut-être que les backdoors découvertes sont celles qui sont au niveau amateur
      Ou alors elles sont volontairement mises à ce niveau pour être découvertes
    • Le triste constat, c’est que trop peu de clients acceptent de payer davantage pour une vraie sécurité. Et même s’ils paient, reste à savoir s’ils l’obtiendront réellement
    • On dirait moins qu’ils ont produit de la merde par accident que le résultat d’un plan suivi et de décisions assumées
  • En fait, c’est plutôt une bonne nouvelle. J’ai quelques routeurs cube de Tenda ; en pratique, ce sont surtout des répéteurs WiFi avec un peu de mesh par-dessus, mais j’ai toujours détesté le fait que leur firmware soit autant lié à l’application
    Maintenant, avec un accès root, il devrait être beaucoup plus simple de contourner l’application, et je pourrai aussi désactiver le mécanisme de ping qui envoie en continu des requêtes DNS vers microsoft.com pour afficher le voyant vert
    Honnêtement, ça ressemble moins à une « backdoor » au sens malveillant qu’à des identifiants d’accès développeur ou des identifiants par défaut restés intégrés au firmware. Le flux prévu était probablement de conserver le code, mais de randomiser la clé en production pour la rendre impossible à deviner ; sauf qu’ils ont négligé cette étape supplémentaire, ou bien ont flashé le firmware d’origine sans configuration de production, ce qui l’a fait fuiter

    • Pourquoi un appareil grand public aurait-il besoin d’un mot de passe randomisé ?
    • Exact, il a bien été randomisé, mais à cause des propriétés de l’onde de probabilité universelle, il se randomise toujours en rzadmin. Les scientifiques sont perplexes
  • C’est pour ça que je configure moi-même mon routeur/pare-feu avec du matériel générique et une distribution Linux

    • Je me souviens avoir fait ça à la fin des années 90 avec ipchains. À l’époque, c’était le seul moyen d’obtenir un routeur qui ne coûte pas une fortune
      Les routeurs grand public/prosumer ne sont arrivés qu’ensuite ; au final, l’ancien redevient nouveau
    • Tenda est plutôt bien pris en charge par OpenWRT
    • J’essaie de monter ma propre configuration pour sortir du routeur par défaut prêté par mon FAI, et je serais curieux de connaître le matériel et la distribution recommandés
  • À l’époque où le WiFi des hôtels ressemblait à une drôle de bête imprévisible, j’ai déjà utilisé un produit WiFi de voyage de Tenda
    Aujourd’hui, avec l’eSIM et les forfaits Internet de voyage largement disponibles, le WiFi de l’hôtel est peut-être même le moyen de connexion le moins fiable, donc je ne pense pas que ce soit vraiment nécessaire
    J’ai aussi un équipement Mikrotik offert, dans la même gamme de prix ; il est physiquement plus petit et exécute quelque chose qui ressemble à du code principal. Quoi qu’on pense de la qualité de Mikrotik, ils fournissent à peu près toutes les poignées de configuration qu’on peut vouloir

    • Je travaille actuellement sur un hôtel, et nous avons fait pas mal d’efforts pour rendre le WiFi plus sûr
      Chaque utilisateur est dans son propre VLAN, et chaque chambre utilise un PPSK distinct. Les identifiants sont générés aléatoirement, pas selon un schéma absurde du type nom de famille + numéro de chambre. Nous avons aussi créé notre propre système de contrôle d’accès, et utilisé les cartes-clés les plus solides que nous pouvions trouver à l’époque, des MIFARE DESFire EV3. Nous essayons vraiment de construire un hôtel où la sécurité n’a pas l’air d’une blague
  • Les États-Unis/Israël ne feraient jamais ce genre de chose, donc il suffit d’acheter du UniFi/Fortinet/Palo Alto !

    • Il y avait un mème de schéma réseau qui circulait, avec un pare-feu américain derrière un pare-feu chinois, puis un pare-feu russe derrière, chacun bloquant les backdoors des autres
    • Ces entreprises, et même Cisco avec elles, ont beaucoup de chemin à faire si elles veulent rattraper la quantité et le rythme des « backdoors d’authentification cachées »
      Exemple : https://www.thestack.technology/cisco-hard-coding-passwords-...
    • Je ne sais pas si c’était une blague, mais les deux l’ont déjà fait. Et une entreprise américaine peut être contrainte, sur demande, d’implémenter une backdoor en vertu d’une ordonnance secrète
  • Mon ifconfig est simple. Si c’est fabriqué à Shenzhen, je le jette

    • Plus de la moitié des composants de tes appareils électroniques ont probablement été fabriqués à Shenzhen
  • Le matériel/firmware Tenda récent est chiffré, comme dans les exemples ci-dessous, ce qui semble rendre l’audit plus difficile
    US_AC10V6.0si_V16.03.62.09_multi_TDE01.bin et US_BE12ProV1.0mt_V16.03.66.23_TD01.bin, examinés avec binwalk, étaient chiffrés avec OpenSSL
    Le troisième que j’ai essayé, US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin, n’était pas chiffré, ce qui montre que d’autres modèles ne figurant pas dans la liste des appareils affectés par cette CVE pourraient aussi être concernés. À l’intérieur, /squashfs-root/webroot_ro/default_ac.cfg et default_router.cfg contiennent sys.rzadmin.username=rzadmin, sys.rzadmin.password=cnphZG1pbg==, qui se décode en Base64 en rzadmin. On voit aussi guest/guest
    D’après un examen rapide, sys.rzadmin.password n’est référencé que dans le contexte où la fonction login() de /bin/httpd récupère et compare la valeur ; en cas d’échec, elle affiche "login err: password is wrong.". Je n’ai trouvé, nulle part dans le firmware, de référence à du code permettant à l’utilisateur de modifier cette valeur par défaut
    En prime, imsd_upload_log_v1 dans /bin/imsd collecte le SSID, l’adresse MAC, l’adresse IP, sys.admin.username, sys.rzadmin.username et le fuseau horaire, tandis que imsd_remote_pwd_get récupère sys.admin.password. La bibliothèque associée /lib/lubucapi.so semble également être un binaire qui mériterait un examen plus poussé ; elle paraît contenir un ensemble de commandes permettant la gestion cloud ou le débogage à distance des routeurs Tenda, ce qui pourrait aussi expliquer la présence de imsd_remote_pwd_get dans /bin/imsd