Бекдор у роутерах Tenda CVE-2026-11405: перевірте прошивку

CERT/CC попереджає про прихований admin-бекдор у кількох прошивках роутерів Tenda. Перевірте версію й зменшіть доступність адмін-панелі до появи патча.

Попередження про бекдор у роутерах Tenda CVE-2026-11405

CERT/CC попереджає, що кілька збірок прошивки роутерів Tenda містять прихований механізм автентифікації, позначений як CVE-2026-11405. Практичний ризик простий: якщо веб-інтерфейс керування такого пристрою доступний, зловмисник може обійти звичайну перевірку пароля адміністратора й отримати контроль над налаштуваннями роутера.

Це не звичайна проблема слабкого стандартного пароля. У нотатці CERT/CC йдеться про недокументований шлях у логіці входу веб-сервера роутера, тому зміна видимого admin-пароля корисна, але сама по собі не прибирає бекдор. До появи виправленої прошивки власникам варто перевірити точну збірку й обмежити доступ до панелі керування.

Кому варто перевірити пристрій

Перевірте версію прошивки, якщо ви адмініструєте пристрій Tenda вдома, в малому офісі, у спільній мережі або для віддаленої роботи. CERT/CC перелічує такі вразливі збірки:

Модель / збіркаСтатус
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDВразлива
US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEВразлива
US_AC10V1.0re_V15.03.06.46_multi_TDE01Вразлива
US_AC5V1.0RTL_V15.03.06.48_multi_TDE01Вразлива
US_AC6V2.0RTL_V15.03.06.51_multi_TВразлива

Шукайте поле firmware/version в адміністративному інтерфейсі роутера. Якщо пристрій дістався від провайдера, попереднього власника, орендованого офісу або був куплений з рук, перевірка важливіша: ви можете не знати, чи були увімкнені віддалене керування, UPnP або port forwarding.

Що змінює цей бекдор

За даними CERT/CC, вразливий веб-сервер /bin/httpd спочатку виконує звичайну перевірку пароля на основі MD5. Якщо вона не проходить, код перевіряє альтернативне значення, пов’язане з sys.rzadmin.password. Якщо воно збігається, пристрій видає admin-рівень доступу, а ім’я користувача фактично не перевіряється.

Для власника роутера важливі не назви внутрішніх функцій, а наслідок: прихований шлях входу може обійти пароль, який ви бачите в налаштуваннях. Після отримання доступу зловмисник може змінити DNS, відкрити віддалене керування, послабити безпеку або перенаправляти трафік.

Що зробити зараз

  1. Перевірте точну збірку прошивки. Не покладайтеся лише на назву моделі.
  2. Вимкніть віддалене веб-керування. Адмін-панель роутера не має бути доступна з інтернету без чіткої потреби й контролю.
  3. Змініть стандартний LAN IP-діапазон, якщо це доречно. CERT/CC зазначає, що це може зменшити випадкове виявлення автоматичними сканерами, але не зупиняє цілеспрямоване локальне сканування.
  4. Перевірте DNS і port forwarding. Невідомі DNS-сервери, неочікувані правила переадресації або увімкнене WAN-керування є сильнішими сигналами, ніж просто повільний Wi-Fi.
  5. Слідкуйте за оновленням від виробника. Якщо патч не з’явиться, а роутер захищає важливу мережу, плануйте заміну.

Якщо після змін у роутері ви бачите невідомі DNS або перенаправлення браузера, перевірте також локальні пристрої. Компрометація роутера й зараження ПК можуть існувати одночасно. Для ширшого контексту корисні наші матеріали про атаки на маршрутизатори D-Link, ботнети на побутових пристроях і критичні оновлення UniFi OS.

Чого не варто припускати

  • Новий admin-пароль не є повним виправленням. Він потрібен проти звичайного зламу облікових даних, але не усуває прихований шлях автентифікації.
  • Сильний Wi-Fi пароль не захищає веб-панель. Це різні рівні доступу.
  • Відсутність гучної експлуатації не означає відсутність ризику. Роутери часто сканують автоматично й непомітно для власника.
  • Factory reset може повернути небезпечні дефолти. Після скидання знову перевірте remote management, DNS, UPnP і port forwarding.

FAQ

Чи всі роутери Tenda вразливі?

Ні. CERT/CC перелічує конкретні збірки прошивки. Перевірте версію саме на своєму пристрої.

Чи виправляє проблему зміна пароля роутера?

Ні. Змінити пароль все одно варто, але CVE-2026-11405 описує недокументований шлях входу в логіці веб-керування. Потрібні обмеження доступу й виправлена прошивка.

Чи потрібно негайно міняти роутер?

Не завжди. Спершу вимкніть віддалене керування, перевірте збірку прошивки й чекайте офіційного патча. Якщо пристрій вразливий, патча немає, а мережа важлива для роботи, заміна є розумним рішенням.

Джерела

  1. CERT Coordination Center. “Tenda firmware (multiple versions) contains hidden authentication backdoor.” Vulnerability Note VU#213560, Carnegie Mellon University Software Engineering Institute, original release July 6, 2026, accessed July 7, 2026. https://kb.cert.org/vuls/id/213560
  2. CVE Program. “CVE-2026-11405.” CVE Record, accessed July 7, 2026. https://www.cve.org/CVERecord?id=CVE-2026-11405

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.