Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

В прошивке роутеров Tenda обнаружена уязвимость для входа под правами администратора и без пароля

Дата публикации: 09-07-2026 17:37:17

Получив административный доступ, злоумышленник может удалённо и без авторизации изменять настройки устройства, отключать функции безопасности или полностью перенастраивать маршрутизатор, что может привести к компрометации всей локальной сети.

Основное содержимое страницы с новостью.

Получив административный доступ, злоумышленник может удалённо и без авторизации изменять настройки устройства, отключать функции безопасности или полностью перенастраивать маршрутизатор, что может привести к компрометации всей локальной сети.

Специалисты по кибербезопасности из координационного центра CERT при Университете Карнеги-Меллона обнаружили критическую уязвимость в прошивке сетевых устройств компании Tenda, позволяющую удаленным злоумышленникам обходить процесс авторизации и получать полный контроль над оборудованием.

739966_O.jpgАвтор: Евгений Козырев. Источник изображения: Eldorado

Уязвимости присвоен идентификатор CVE-2026-11405. Согласно бюллетеню CERT/CC (VU#213560), опубликованному 6 июля 2026 года, проблема затрагивает встроенное программное обеспечение как минимум пяти линеек маршрутизаторов, включая модели FH1201, W15E, AC10, AC5 и AC6. Уязвимость, обнаруженная анонимным исследователем, квалифицируется как наличие недокументированного механизма аутентификации.

Технический анализ показывает, что проблема кроется в бинарном файле встроенного веб-сервера (/bin/httpd). При штатной работе функция login() проверяет учетные данные пользователя с использованием MD5-хеширования. Однако при неудачной стандартной авторизации система активирует альтернативный алгоритм: сервер запрашивает резервный пароль из конфигурации устройства с помощью команды GetValue("sys.rzadmin.password").

Сверка введенных данных с резервным паролем осуществляется в виде простого текста посредством функции strcmp(), без криптографической защиты. Поскольку проверка имени пользователя на этом этапе игнорируется, использование любого произвольного логина в связке с бэкдор-паролем немедленно предоставляет злоумышленнику высшие права администратора (role=2).

739967_O.jpgИсточник изображения: commons.wikimedia.org

Несанкционированный доступ к веб-интерфейсу позволяет вносить критические изменения в конфигурацию маршрутизатора: модифицировать правила межсетевого экрана, изменять настройки DNS-серверов, управлять переадресацией портов и устанавливать сторонние прошивки. Это создает прямую угрозу перехвата трафика и компрометации внутренних сетей.

По состоянию на 9 июля 2026 года официальный патч безопасности отсутствует. Китайский производитель сетевого оборудования Tenda не прокомментировал ситуацию, не предоставил сроки выпуска обновлений и не подтвердил окончательный список затронутых устройств.

До выпуска программного исправления эксперты CERT/CC настоятельно рекомендуют владельцам оборудования полностью отключить опцию удаленного администрирования. Дополнительными мерами снижения рисков названы ограничение доступа к веб-интерфейсу исключительно локальной сетью и изменение стандартного LAN IP-адреса маршрутизатора во избежание обнаружения автоматизированными сканерами уязвимостей.

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Бэкдор в прошивках Tenda, позволяющий получить доступ с правами администратора-2807-07-2026
2В древней Linux-утилите найдена критическая «дыра», которую не замечали 11 лет. Она открывает всем желающим root-доступ. Эксплойт умещается в одну строку-2823-01-2026
3Wired: уязвимости в AirPlay позволяют хакерам взломать устройство0030-04-2025
4Schwachstelle in Coding-Agenten: Zugriff auf beliebige Dateien über Symlinks-2609-07-2026
5ФАС России сообщила о хакерской атаке на свои ресурсы0015-11-2018
6Найденная в sim-картах уязвимость позволяет следить за абонентами0016-09-2019
7Найдены максимальные уязвимости в знаменитой ОС для управления сетями-2709-07-2026
8Хакеры научились заходить в корпоративные аккаунты Microsoft без логина и пароля0707-07-2026
9Найдены максимальные уязвимости в знаменитой ОС для управления сетями-2709-07-2026
10«Дыра», которую прежде считали мелкой, делает файерволлы бесполезными-2819-06-2026

Классификация: Общество. Схожих патентов: 0. Схожих новостей: 10. Тональность: -2. Информативность: 7. Источник: overclockers.ru.