Alarm dla posiadaczy popularnych routerów. CERT ostrzega przed ukrytym backdoorem


Alarm dla posiadaczy popularnych routerów. CERT ostrzega przed ukrytym backdoorem

Poważne ostrzeżenie dla użytkowników routerów Tenda. Eksperci ds. cyberbezpieczeństwa ujawnili nieudokumentowany mechanizm umożliwiający uzyskanie pełnego dostępu administracyjnego do wybranych urządzeń bez wykorzystania prawidłowych danych logowania. Jeszcze większy niepokój budzi fakt, że producent do tej pory nie opublikował aktualizacji zabezpieczeń ani nie odniósł się do zgłoszenia badaczy.

Odkryta podatność została oznaczona jako CVE-2026-11405 i dotyczy oprogramowania układowego kilku popularnych modeli routerów chińskiego producenta. Zdaniem specjalistów przejęcie kontroli nad takim urządzeniem może otworzyć drogę do dalszych ataków na całą sieć domową lub firmową.

Ukryta ścieżka logowania omija standardowe zabezpieczenia

Informacje o luce opublikowało CERT Coordination Center (CERT/CC), działające przy Software Engineering Institute Uniwersytetu Carnegie Mellon. Organizacja poinformowała, że wada znajduje się we wbudowanym serwerze WWW odpowiedzialnym za obsługę panelu administracyjnego routerów.

Podczas standardowego logowania urządzenie weryfikuje hasło administratora zgodnie z oczekiwaniami. Problem pojawia się w chwili, gdy ta procedura kończy się niepowodzeniem. Oprogramowanie nie przerywa procesu uwierzytelniania, lecz uruchamia dodatkową, nieudokumentowaną ścieżkę sprawdzania dostępu.

Badacze ustalili, że firmware porównuje wpisane hasło z inną wartością zapisaną wewnątrz systemu. Jeśli oba ciągi znaków są zgodne, router natychmiast przyznaje pełne uprawnienia administratora. Co szczególnie niepokojące, nazwa użytkownika w ogóle nie jest sprawdzana. W praktyce wystarczy dowolny login oraz odpowiednie hasło zapisane w urządzeniu.

Eksperci podkreślają, że nie jest to klasyczny błąd programistyczny, lecz oddzielny mechanizm uwierzytelniania funkcjonujący równolegle do standardowego logowania.

Zagrożonych jest kilka popularnych modeli

CERT/CC potwierdził obecność podatności w oprogramowaniu układowym kilku rodzin routerów Tenda. Na liście znalazły się urządzenia z serii FH1201, W15E, AC10, AC5 oraz AC6.

Badacze zaznaczają jednak, że wykaz nie musi być kompletny. Analizie poddano jedynie konkretne wersje firmware przekazane organizacji, a producent nie przedstawił własnej listy modeli objętych problemem. Nie można więc wykluczyć, że podobny mechanizm występuje również w innych urządzeniach tej marki.

Przejęcie routera daje szerokie możliwości ataku

Router jest jednym z najważniejszych elementów każdej sieci. To przez niego przechodzi cały ruch internetowy wszystkich komputerów, smartfonów, telewizorów czy urządzeń IoT znajdujących się w domu lub biurze.

Uzyskanie dostępu administracyjnego pozwala napastnikowi praktycznie dowolnie zmieniać konfigurację urządzenia. Może podmienić serwery DNS i przekierowywać użytkowników na fałszywe strony internetowe, zmodyfikować ustawienia zapory sieciowej, aktywować zdalny dostęp, zmienić dane logowania administratora lub przygotować router do kolejnych działań wymierzonych w urządzenia znajdujące się w tej samej sieci.

To właśnie dlatego eksperci od lat traktują router jako jeden z najważniejszych elementów bezpieczeństwa cyfrowego.

Producent nadal nie opublikował poprawki

Największe obawy budzi brak reakcji producenta. Według CERT/CC organizacja próbowała skontaktować się z firmą Tenda, jednak do momentu publikacji ostrzeżenia nie otrzymała odpowiedzi. Nadal nie udostępniono również aktualizacji usuwającej wykrytą podatność.

Nie wiadomo również, dlaczego dodatkowy mechanizm logowania znalazł się w oprogramowaniu routerów. Badacze nie przesądzają, czy był to celowo pozostawiony backdoor, narzędzie wykorzystywane podczas prac rozwojowych czy element, który przypadkowo pozostał w finalnej wersji firmware. Bez stanowiska producenta nie da się jednoznacznie odpowiedzieć na to pytanie.

CERT zaleca ograniczenie dostępu do panelu administracyjnego

Do czasu opublikowania poprawki eksperci zalecają wyłączenie zdalnego zarządzania routerem wszędzie tam, gdzie jest ono aktywne. Dzięki temu panel administracyjny nie będzie dostępny z internetu.

CERT/CC zwraca również uwagę, że ograniczenie widoczności sieci lokalnej może utrudnić automatyczne wykrywanie urządzeń przez narzędzia wykorzystywane przez cyberprzestępców. Organizacja zaznacza jednak, że takie działania nie stanowią pełnej ochrony przed atakami prowadzonymi w sposób ukierunkowany.

Spodobało Ci się? Podziel się ze znajomymi!

Pokaż / Dodaj komentarze do:

Alarm dla posiadaczy popularnych routerów. CERT ostrzega przed ukrytym backdoorem
 0