CERT/CC попереджає, що кілька збірок прошивки роутерів Tenda містять прихований механізм автентифікації, позначений як CVE-2026-11405. Практичний ризик простий: якщо веб-інтерфейс керування такого пристрою доступний, зловмисник може обійти звичайну перевірку пароля адміністратора й отримати контроль над налаштуваннями роутера.
Це не звичайна проблема слабкого стандартного пароля. У нотатці CERT/CC йдеться про недокументований шлях у логіці входу веб-сервера роутера, тому зміна видимого admin-пароля корисна, але сама по собі не прибирає бекдор. До появи виправленої прошивки власникам варто перевірити точну збірку й обмежити доступ до панелі керування.
Кому варто перевірити пристрій
Перевірте версію прошивки, якщо ви адмініструєте пристрій Tenda вдома, в малому офісі, у спільній мережі або для віддаленої роботи. CERT/CC перелічує такі вразливі збірки:
| Модель / збірка | Статус |
|---|---|
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD | Вразлива |
US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE | Вразлива |
US_AC10V1.0re_V15.03.06.46_multi_TDE01 | Вразлива |
US_AC5V1.0RTL_V15.03.06.48_multi_TDE01 | Вразлива |
US_AC6V2.0RTL_V15.03.06.51_multi_T | Вразлива |
Шукайте поле firmware/version в адміністративному інтерфейсі роутера. Якщо пристрій дістався від провайдера, попереднього власника, орендованого офісу або був куплений з рук, перевірка важливіша: ви можете не знати, чи були увімкнені віддалене керування, UPnP або port forwarding.
Що змінює цей бекдор
За даними CERT/CC, вразливий веб-сервер /bin/httpd спочатку виконує звичайну перевірку пароля на основі MD5. Якщо вона не проходить, код перевіряє альтернативне значення, пов’язане з sys.rzadmin.password. Якщо воно збігається, пристрій видає admin-рівень доступу, а ім’я користувача фактично не перевіряється.
Для власника роутера важливі не назви внутрішніх функцій, а наслідок: прихований шлях входу може обійти пароль, який ви бачите в налаштуваннях. Після отримання доступу зловмисник може змінити DNS, відкрити віддалене керування, послабити безпеку або перенаправляти трафік.
Що зробити зараз
- Перевірте точну збірку прошивки. Не покладайтеся лише на назву моделі.
- Вимкніть віддалене веб-керування. Адмін-панель роутера не має бути доступна з інтернету без чіткої потреби й контролю.
- Змініть стандартний LAN IP-діапазон, якщо це доречно. CERT/CC зазначає, що це може зменшити випадкове виявлення автоматичними сканерами, але не зупиняє цілеспрямоване локальне сканування.
- Перевірте DNS і port forwarding. Невідомі DNS-сервери, неочікувані правила переадресації або увімкнене WAN-керування є сильнішими сигналами, ніж просто повільний Wi-Fi.
- Слідкуйте за оновленням від виробника. Якщо патч не з’явиться, а роутер захищає важливу мережу, плануйте заміну.
Якщо після змін у роутері ви бачите невідомі DNS або перенаправлення браузера, перевірте також локальні пристрої. Компрометація роутера й зараження ПК можуть існувати одночасно. Для ширшого контексту корисні наші матеріали про атаки на маршрутизатори D-Link, ботнети на побутових пристроях і критичні оновлення UniFi OS.
Чого не варто припускати
- Новий admin-пароль не є повним виправленням. Він потрібен проти звичайного зламу облікових даних, але не усуває прихований шлях автентифікації.
- Сильний Wi-Fi пароль не захищає веб-панель. Це різні рівні доступу.
- Відсутність гучної експлуатації не означає відсутність ризику. Роутери часто сканують автоматично й непомітно для власника.
- Factory reset може повернути небезпечні дефолти. Після скидання знову перевірте remote management, DNS, UPnP і port forwarding.
FAQ
Чи всі роутери Tenda вразливі?
Ні. CERT/CC перелічує конкретні збірки прошивки. Перевірте версію саме на своєму пристрої.
Чи виправляє проблему зміна пароля роутера?
Ні. Змінити пароль все одно варто, але CVE-2026-11405 описує недокументований шлях входу в логіці веб-керування. Потрібні обмеження доступу й виправлена прошивка.
Чи потрібно негайно міняти роутер?
Не завжди. Спершу вимкніть віддалене керування, перевірте збірку прошивки й чекайте офіційного патча. Якщо пристрій вразливий, патча немає, а мережа важлива для роботи, заміна є розумним рішенням.
Джерела
- CERT Coordination Center. “Tenda firmware (multiple versions) contains hidden authentication backdoor.” Vulnerability Note VU#213560, Carnegie Mellon University Software Engineering Institute, original release July 6, 2026, accessed July 7, 2026. https://kb.cert.org/vuls/id/213560
- CVE Program. “CVE-2026-11405.” CVE Record, accessed July 7, 2026. https://www.cve.org/CVERecord?id=CVE-2026-11405
