- Bazı Tenda ağ cihazı ürün yazılımlarında belgelenmemiş bir kimlik doğrulama arka kapısı bulunuyor; bu sayede geçerli kimlik bilgileri olmadan web yönetim arayüzünde yönetici yetkisi elde edilebiliyor
- CVE-2026-11405, normal parola doğrulaması başarısız olduktan sonra
sys.rzadmin.passworddeğerini alternatif parola gibi kontrol eden bir akışla çalışıyor - Girilen parola bu yapılandırma değeriyle eşleşirse kullanıcı adı doğrulaması yapılmadan
role=2yönetici oturumu oluşturuluyor ve bu da kimlik doğrulamanın atlatılmasına yol açıyor - Etkilenenler arasında FH1201, W15E, AC10, AC5 ve AC6 serilerinin belirli ürün yazılımı sürümleri yer alıyor; istismar edilirse cihaz yeniden yapılandırılabiliyor, ağ ayarları değiştirilebiliyor ve güvenlik özellikleri devre dışı bırakılabiliyor
- Yama henüz bulunmadığından, maruziyeti azaltmak için uzaktan web yönetimini devre dışı bırakma ve varsayılan LAN IP'sini değiştirme gibi sınırlı hafifletme önlemlerine güvenmek gerekiyor
Kimlik doğrulama arka kapısının çalışma şekli ve riski
- Tenda; yönlendirici, anahtar, kablosuz erişim noktası ve video gözetim ekipmanları dahil olmak üzere ev ve kurumsal kullanım için ağ cihazları sağlıyor
- Bu cihazların birçoğu yapılandırma ve yönetim için web tabanlı bir arayüz sunuyor ve bu arayüz genellikle kullanıcı adı ile parola ile korunuyor
- Zafiyetli ürün yazılımlarındaki
/bin/httpdikilisinde,login()fonksiyonu içinde belgelenmemiş bir arka kapı kimlik doğrulama mekanizması bulunuyor- Önce normal kimlik doğrulama yolunda MD5 tabanlı parola doğrulaması yapılıyor
- Kimlik doğrulama başarısız olursa
GetValue("sys.rzadmin.password")çağrılarak cihaz yapılandırmasındaki alternatif parola değeri alınıyor - Ardından kullanıcının girdiği parola ile kayıtlı yapılandırma değeri düz metin
strcmp()ile doğrudan karşılaştırılıyor - Değerler eşleşirse
role=2yönetici yetkisi veriliyor ve geçerli bir oturum oluşturuluyor
- Bu yolda kullanıcı adı doğrulaması yok
- Herhangi bir kullanıcı adı girilse bile arka kapı parolasıyla birlikte gönderildiğinde kimlik doğrulama başarılı oluyor
- Bu kimlik doğrulama mekanizması belgelenmemiş durumda ve yönetim arayüzünde de gösterilmiyor
- İstismar başarılı olursa, yapılandırılmış yönetici hesabı kimlik bilgelerinden bağımsız olarak cihazın web arayüzünde tam yönetici erişimi elde edilebiliyor
- Cihaz yeniden yapılandırılabiliyor
- Ağ ayarları değiştirilebiliyor
- Güvenlik özellikleri devre dışı bırakılabiliyor
- Bu durum yerel ağın daha geniş çapta ihlal edilmesine yol açabiliyor
Etkilenen ürün yazılımları ve mevcut durum
- Etkilenen ürün yazılımı sürümleri:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
- Tedarikçiyle zafiyet koordinasyonu başarısız olduğu için yama sağlanmıyor
- Düzeltilmiş bir sürüm çıkana kadar uygulanabilecek hafifletme önlemleri:
- Uzaktan yönetimi devre dışı bırakma
- Cihaz uzaktan web yönetimini destekliyorsa bu özellik devre dışı bırakılmalı
- Böylece dış ağdaki saldırganların internet üzerinden cihaz yönetim paneline erişmesi engellenebilir
- Yerel ağ maruziyetini sınırlama
- Varsayılan LAN IP adresini değiştirmek, bilinen varsayılan IP aralıklarını hedefleyen otomatik tarayıcıların fırsatçı keşif olasılığını azaltabilir
- Bu önlem kasıtlı veya hedefli ağ taramalarını engelleyemez
- Uzaktan yönetimi devre dışı bırakma
- İlgili tanımlayıcılar ve referanslar:
1 yorum
Hacker News yorumları
Yazıda
sys.rzadmin.passworddeğeri yer almıyor, ancak 2022 tarihli analiz yazısında açık edilmiş: https://boschko.ca/tenda_ac1200_router/Spoiler: değer rzadmin ve firmware içinde bunun dışında da epey ilginç şeyler var gibi görünüyor
Arka kapı olsaydı en azından biraz daha gizli olmaya çalışırlardı :)
rz, Almanca konuşulan bölgelerde RechenZentrum yani veri merkezi için yaygın bir kısaltma; bu yüzden Almanca gibi okunuyorİngilizcedeki
dcadmingibi bir his veriyor. “gute Deutsche Wertarbeit” yapan tarafa outsource edilmiş olabilir, bir kurumun bundan keyif almış olabileceğini düşündürüyor olabilir ya da birinin sis perdesi de olabilirTenda’yı pek tanımıyordum ama ev/iş kullanımı için router, switch, kablosuz AP ve video gözetim ekipmanı tedarikçisi olduğu yazıyor; şirket profili de https://www.tendacn.com/us/profile adresinde
Çinli markalar arasında aynı iç bileşenleri farklı kasa ile sunmak veya rakip marka gibi yeniden markalamak sık görüldüğünden, Tenda da böyle yapıyor olabilir diye düşündüm. Güvenlik kamerası tarafında bunu görmüştüm
Keşke yazarlar firmware sürümlerinin yanı sıra zafiyetin nasıl doğrulanacağını da paylaşsaydı. Sonuçta Tenda sadece parolayı değiştirip “artık güvenli” diyebilir
Yaklaşık 10 yıl önce aldığım powerline Ethernet adaptörü hâlâ bir dolapta bir yerde duruyor. O zamanlar yönetici parolasının
adminolması neredeyse standarttı ve çoğu zaman cihazın üstüne bile basılı olurduDevlet kurumu gibi bir yer değil, bu yüzden aşırı kötü niyetten çok kaliteyi gerçekten önemsememeleri daha olası görünüyor
“Bağlanan kullanıcı adı doğrulanmadığı için, herhangi bir kullanıcı adı arka kapı parolasıyla birlikte kullanıldığında başarılı olur” kısmı gerçekten etkileyici
Müşterilerin neden böyle bir üreticiye güvenmesi gerektiğini anlamıyorum. Bu noktadan sonra içinde satıcının sağladığı kara kutu firmware bulunan hiçbir router kullanmam gibi geliyor
Kullanmadan önce her zaman OpenWRT benzeri bir şey kurarım; bu herhangi bir nedenle mümkün değilse, böyle bir ekipmanı satın almayı bile düşünmem
Apartman kompleksi gibi kablosuz ağların kalabalık ve parazitli olduğu yerlerde kapsama, sinyal gücü ve aktarım hızını korumak için bu özellikler önemli. OpenWRT tarafı bir çözüm buldu mu, yoksa üreticiler yüklenebilir firmware kullanan açık sürücülere karşı daha işbirlikçi mi oldu, merak ediyorum
O zaman da özel switch çipi kullanan ekipmanlara göre güç verimliliği ister istemez çok daha kötü oluyor
Ağ ekipmanı şirketlerinin bu kadar tutarlı biçimde çöp ürün çıkarması şaşırtıcı
Üstelik hep amatör işi arka kapılar. Bari sofistike olsaydı, “herhâlde bir güvenlik kurumu istemiştir” deyip geçme payı olurdu
Ya da özellikle bulunsun diye amatörce yerleştirilmiş olabilirler
Bu bana aksine hoş bir haber gibi geldi. Birkaç Tenda küp router’ım var; aslında biraz mesh eklenmiş WiFi tekrarlayıcıdan ibaretler ama firmware uygulamaya o kadar bağlı ki bundan hep nefret ettim
Artık root erişimi sayesinde uygulamayı atlamak çok daha kolay olabilir ve yeşil ışık göstergesi için sürekli
microsoft.comadresine DNS sorgusu atan ping mekanizmasını da kapatabilirimDürüst olmak gerekirse bu, kötü niyet çağrıştıran bir “arka kapı”dan çok firmware içine gömülü geliştirici erişim bilgileri ya da varsayılan kimlik bilgileri gibi görünüyor. Muhtemelen amaç kodun kendisini bırakmak ama üretim sürecinde anahtarı rastgeleleştirip tahmin edilemez hâle getirmekti; sonra da o ek adımı uğraştırıcı bulup çalıştırmadılar ya da üretim ayarları olmadan kaynak firmware’i doğrudan cihaza yazdılar ve böylece dışarı sızdı
rzadminolarak rastgeleleşiyor. Bilim insanları da şaşkınBu yüzden genel amaçlı donanım ve Linux dağıtımlarıyla router/firewall’u kendim kuruyorum
ipchainsile yaptığımı hatırlıyorum. O dönemde çok pahalı olmayan bir router edinmenin tek yolu buyduTüketici/prosumer router’lar daha sonra çıktı; sonuçta eski yine yeni oldu
Otel WiFi’sinin tuhaf bir canavar gibi olduğu zamanlarda Tenda’nın seyahat tipi WiFi ürünlerini kullanmıştım
Şimdi eSIM ve yaygın seyahat internet tarifeleri sayesinde, otel WiFi’si aksine en az güvenilir bağlantı yolu olabilir; bu yüzden pek gerekli görünmüyor
Aynı fiyat bandında ücretsiz verilmiş bir Mikrotik cihazım da var; fiziksel olarak daha küçük ve daha ana akım bir kod tabanı gibi görünen bir şey çalıştırıyor. Mikrotik’in kalitesi hakkında ne denirse densin, istediğiniz neredeyse tüm ayar düğmelerini sunuyor
Tüm kullanıcılar kendi VLAN’larında ve her oda ayrı PPSK kullanıyor. Kimlik bilgileri de soyadı+oda numarası gibi saçma bir kalıptan değil, rastgele üretiliyor. Kendi erişim kontrol sistemimizi de yaptık ve o sırada bulabildiğimiz en güçlü anahtar kart olan MIFARE DESFire EV3 kullandık. Güvenliğin şaka gibi görünmediği bir otel kurmak için gerçekten uğraşıyorum
ABD/İsrail bunu asla yapmaz herhalde, o zaman gidip UniFi/Fortinet/Palo Alto alalım!
örn: https://www.thestack.technology/cisco-hard-coding-passwords-...
Benim
ifconfig’im basit. Shenzhen’de yapılmışsa çöpe giderYakın tarihli Tenda donanımı/firmware’i, aşağıdaki örneklerde olduğu gibi şifreli görünüyor; bu da denetimi daha zor hale getiriyor
binwalkile bakılanUS_AC10V6.0si_V16.03.62.09_multi_TDE01.binveUS_BE12ProV1.0mt_V16.03.66.23_TD01.bindosyalarında OpenSSL şifrelemesi vardıÜçüncü denemede bakılan
US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).binşifreli değildi; bu da bu CVE’nin etki listesinde olmayan başka modellerde de sorun olabileceğini gösteriyor. İçerideki/squashfs-root/webroot_ro/default_ac.cfgvedefault_router.cfgdosyalarındasys.rzadmin.username=rzadmin,sys.rzadmin.password=cnphZG1pbg==bulunuyor; Base64 ile açıncarzadminçıkıyor.guest/guestde görünüyorHızlıca baktığım kadarıyla
sys.rzadmin.password, yalnızca/bin/httpdiçindekilogin()fonksiyonunda değeri alınıp karşılaştırıldığı bağlamda referans ediliyor ve yanlışsa"login err: password is wrong."dönüyor. Firmware’in hiçbir yerinde bu varsayılan değeri kullanıcının değiştirmesine izin veren bir kod referansı bulamadımBonus olarak
/bin/imsdiçindekiimsd_upload_log_v1; SSID, MAC, IP adresi,sys.admin.username,sys.rzadmin.usernameve saat dilimini topluyor,imsd_remote_pwd_getisesys.admin.passworddeğerini alıyor. İlgili kütüphane/lib/lubucapi.soda daha fazla incelenmeye değer bir ikili dosya gibi görünüyor; Tenda yönlendiricilerde bulut yönetimi veya uzaktan hata ayıklamayı mümkün kılan bir komut kümesi içeriyor gibi ve/bin/imsdiçindeimsd_remote_pwd_getbulunmasının nedeni de bu olabilir