CERT/CC alerta para backdoor oculto de admin no firmware de roteadores Tenda
7 de Julho de 2026

Várias versões de firmware lançadas pela fabricante chinesa de equipamentos de rede Tenda foram encontradas com uma porta dos fundos de autenticação não documentada, capaz de conceder acesso administrativo às interfaces de gerenciamento web dos dispositivos, alertou nesta segunda-feira o CERT Coordination Center (CERT/CC).

“Um atacante pode explorar essa vulnerabilidade, identificada como CVE-2026-11405 , para contornar o processo de verificação de senha e obter controle administrativo total sem credenciais válidas”, informou o CERT/CC em um alerta.

A falha afeta várias versões de firmware:

US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
US_AC10V1.0re_V15.03.06.46_multi_TDE01
US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
US_AC6V2.0RTL_V15.03.06.51_multi_T

A funcionalidade de porta dos fundos está presente na função “login()” do binário do servidor web “/bin/httpd”.

Embora o método siga inicialmente um caminho normal de autenticação, com verificação de senha baseada em MD5, ele ativa uma rota alternativa quando a autenticação falha.

Na prática, isso envolve a chamada “GetValue("sys.rzadmin.password")” para recuperar um valor de senha alternativo da configuração do dispositivo e, em seguida, uma comparação direta em texto simples entre a senha informada pelo usuário e o valor armazenado.

Se os valores coincidirem, o aplicativo concede acesso com nível de administrador, com role=2, e cria uma sessão válida com privilégios elevados.

“O nome de usuário associado [‘rzadmin’] não é validado, então qualquer nome de usuário informado será aceito quando combinado com a senha da porta dos fundos”, afirmou o CERT/CC.

“Esse mecanismo de autenticação por porta dos fundos não é documentado nem fica visível por meio de qualquer interface administrativa.”

A exploração bem-sucedida dessa validação padrão de nome de usuário permite acesso administrativo total à interface web do dispositivo, independentemente das credenciais da conta de administrador.

Isso pode permitir que um atacante faça alterações remotas não autorizadas nas configurações, desative recursos de segurança ou reconfigure o dispositivo, o que pode levar ao comprometimento completo do equipamento.

A vulnerabilidade, reportada por um pesquisador anônimo, segue sem patch até o momento da publicação.

Enquanto isso, os usuários são orientados a desativar o gerenciamento remoto no dispositivo e alterar o endereço IP padrão da LAN para dificultar o acesso por agentes maliciosos e reduzir a descoberta oportunista por scanners automatizados que miram faixas de IP padrão conhecidas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...