Получив административный доступ, злоумышленник может удалённо и без авторизации изменять настройки устройства, отключать функции безопасности или полностью перенастраивать маршрутизатор, что может привести к компрометации всей локальной сети.
Получив административный доступ, злоумышленник может удалённо и без авторизации изменять настройки устройства, отключать функции безопасности или полностью перенастраивать маршрутизатор, что может привести к компрометации всей локальной сети.
Специалисты по кибербезопасности из координационного центра CERT при Университете Карнеги-Меллона обнаружили критическую уязвимость в прошивке сетевых устройств компании Tenda, позволяющую удаленным злоумышленникам обходить процесс авторизации и получать полный контроль над оборудованием.
Автор: Евгений Козырев. Источник изображения: Eldorado
Уязвимости присвоен идентификатор CVE-2026-11405. Согласно бюллетеню CERT/CC (VU#213560), опубликованному 6 июля 2026 года, проблема затрагивает встроенное программное обеспечение как минимум пяти линеек маршрутизаторов, включая модели FH1201, W15E, AC10, AC5 и AC6. Уязвимость, обнаруженная анонимным исследователем, квалифицируется как наличие недокументированного механизма аутентификации.
Технический анализ показывает, что проблема кроется в бинарном файле встроенного веб-сервера (/bin/httpd). При штатной работе функция login() проверяет учетные данные пользователя с использованием MD5-хеширования. Однако при неудачной стандартной авторизации система активирует альтернативный алгоритм: сервер запрашивает резервный пароль из конфигурации устройства с помощью команды GetValue("sys.rzadmin.password").
Сверка введенных данных с резервным паролем осуществляется в виде простого текста посредством функции strcmp(), без криптографической защиты. Поскольку проверка имени пользователя на этом этапе игнорируется, использование любого произвольного логина в связке с бэкдор-паролем немедленно предоставляет злоумышленнику высшие права администратора (role=2).
Источник изображения: commons.wikimedia.org
Несанкционированный доступ к веб-интерфейсу позволяет вносить критические изменения в конфигурацию маршрутизатора: модифицировать правила межсетевого экрана, изменять настройки DNS-серверов, управлять переадресацией портов и устанавливать сторонние прошивки. Это создает прямую угрозу перехвата трафика и компрометации внутренних сетей.
По состоянию на 9 июля 2026 года официальный патч безопасности отсутствует. Китайский производитель сетевого оборудования Tenda не прокомментировал ситуацию, не предоставил сроки выпуска обновлений и не подтвердил окончательный список затронутых устройств.
До выпуска программного исправления эксперты CERT/CC настоятельно рекомендуют владельцам оборудования полностью отключить опцию удаленного администрирования. Дополнительными мерами снижения рисков названы ограничение доступа к веб-интерфейсу исключительно локальной сетью и изменение стандартного LAN IP-адреса маршрутизатора во избежание обнаружения автоматизированными сканерами уязвимостей.
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Бэкдор в прошивках Tenda, позволяющий получить доступ с правами администратора | -2 | 8 | 07-07-2026 |
| 2 | В древней Linux-утилите найдена критическая «дыра», которую не замечали 11 лет. Она открывает всем желающим root-доступ. Эксплойт умещается в одну строку | -2 | 8 | 23-01-2026 |
| 3 | Wired: уязвимости в AirPlay позволяют хакерам взломать устройство | 0 | 0 | 30-04-2025 |
| 4 | Schwachstelle in Coding-Agenten: Zugriff auf beliebige Dateien über Symlinks | -2 | 6 | 09-07-2026 |
| 5 | ФАС России сообщила о хакерской атаке на свои ресурсы | 0 | 0 | 15-11-2018 |
| 6 | Найденная в sim-картах уязвимость позволяет следить за абонентами | 0 | 0 | 16-09-2019 |
| 7 | Найдены максимальные уязвимости в знаменитой ОС для управления сетями | -2 | 7 | 09-07-2026 |
| 8 | Хакеры научились заходить в корпоративные аккаунты Microsoft без логина и пароля | 0 | 7 | 07-07-2026 |
| 9 | Найдены максимальные уязвимости в знаменитой ОС для управления сетями | -2 | 7 | 09-07-2026 |
| 10 | «Дыра», которую прежде считали мелкой, делает файерволлы бесполезными | -2 | 8 | 19-06-2026 |