1 puan yazan GN⁺ 4 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Bazı Tenda ağ cihazı ürün yazılımlarında belgelenmemiş bir kimlik doğrulama arka kapısı bulunuyor; bu sayede geçerli kimlik bilgileri olmadan web yönetim arayüzünde yönetici yetkisi elde edilebiliyor
  • CVE-2026-11405, normal parola doğrulaması başarısız olduktan sonra sys.rzadmin.password değerini alternatif parola gibi kontrol eden bir akışla çalışıyor
  • Girilen parola bu yapılandırma değeriyle eşleşirse kullanıcı adı doğrulaması yapılmadan role=2 yönetici oturumu oluşturuluyor ve bu da kimlik doğrulamanın atlatılmasına yol açıyor
  • Etkilenenler arasında FH1201, W15E, AC10, AC5 ve AC6 serilerinin belirli ürün yazılımı sürümleri yer alıyor; istismar edilirse cihaz yeniden yapılandırılabiliyor, ağ ayarları değiştirilebiliyor ve güvenlik özellikleri devre dışı bırakılabiliyor
  • Yama henüz bulunmadığından, maruziyeti azaltmak için uzaktan web yönetimini devre dışı bırakma ve varsayılan LAN IP'sini değiştirme gibi sınırlı hafifletme önlemlerine güvenmek gerekiyor

Kimlik doğrulama arka kapısının çalışma şekli ve riski

  • Tenda; yönlendirici, anahtar, kablosuz erişim noktası ve video gözetim ekipmanları dahil olmak üzere ev ve kurumsal kullanım için ağ cihazları sağlıyor
  • Bu cihazların birçoğu yapılandırma ve yönetim için web tabanlı bir arayüz sunuyor ve bu arayüz genellikle kullanıcı adı ile parola ile korunuyor
  • Zafiyetli ürün yazılımlarındaki /bin/httpd ikilisinde, login() fonksiyonu içinde belgelenmemiş bir arka kapı kimlik doğrulama mekanizması bulunuyor
    • Önce normal kimlik doğrulama yolunda MD5 tabanlı parola doğrulaması yapılıyor
    • Kimlik doğrulama başarısız olursa GetValue("sys.rzadmin.password") çağrılarak cihaz yapılandırmasındaki alternatif parola değeri alınıyor
    • Ardından kullanıcının girdiği parola ile kayıtlı yapılandırma değeri düz metin strcmp() ile doğrudan karşılaştırılıyor
    • Değerler eşleşirse role=2 yönetici yetkisi veriliyor ve geçerli bir oturum oluşturuluyor
  • Bu yolda kullanıcı adı doğrulaması yok
    • Herhangi bir kullanıcı adı girilse bile arka kapı parolasıyla birlikte gönderildiğinde kimlik doğrulama başarılı oluyor
    • Bu kimlik doğrulama mekanizması belgelenmemiş durumda ve yönetim arayüzünde de gösterilmiyor
  • İstismar başarılı olursa, yapılandırılmış yönetici hesabı kimlik bilgelerinden bağımsız olarak cihazın web arayüzünde tam yönetici erişimi elde edilebiliyor
    • Cihaz yeniden yapılandırılabiliyor
    • Ağ ayarları değiştirilebiliyor
    • Güvenlik özellikleri devre dışı bırakılabiliyor
    • Bu durum yerel ağın daha geniş çapta ihlal edilmesine yol açabiliyor

Etkilenen ürün yazılımları ve mevcut durum

  • Etkilenen ürün yazılımı sürümleri:
    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • Tedarikçiyle zafiyet koordinasyonu başarısız olduğu için yama sağlanmıyor
  • Düzeltilmiş bir sürüm çıkana kadar uygulanabilecek hafifletme önlemleri:
    • Uzaktan yönetimi devre dışı bırakma
      • Cihaz uzaktan web yönetimini destekliyorsa bu özellik devre dışı bırakılmalı
      • Böylece dış ağdaki saldırganların internet üzerinden cihaz yönetim paneline erişmesi engellenebilir
    • Yerel ağ maruziyetini sınırlama
      • Varsayılan LAN IP adresini değiştirmek, bilinen varsayılan IP aralıklarını hedefleyen otomatik tarayıcıların fırsatçı keşif olasılığını azaltabilir
      • Bu önlem kasıtlı veya hedefli ağ taramalarını engelleyemez
  • İlgili tanımlayıcılar ve referanslar:

1 yorum

 
GN⁺ 4 시간 전
Hacker News yorumları
  • Yazıda sys.rzadmin.password değeri yer almıyor, ancak 2022 tarihli analiz yazısında açık edilmiş: https://boschko.ca/tenda_ac1200_router/
    Spoiler: değer rzadmin ve firmware içinde bunun dışında da epey ilginç şeyler var gibi görünüyor

    • Buna arka kapı demektense düpedüz ön kapı demek daha doğru olurdu
    • Bu noktada bu bir arka kapıdan çok, eskiden bu tür donanımlarda sık görülen aptalca varsayılan root parolası tasarımına daha yakın
      Arka kapı olsaydı en azından biraz daha gizli olmaya çalışırlardı :)
    • Bu kadar özensiz gizlenmişse, dağıtımdan önce kaldırılması unutulan bir geliştirici kolaylık özelliği gibi duruyor
    • Son bildirimin üzerinden neredeyse 4 yıl geçmiş olmasına rağmen parola hâlâ aynıysa, bu ya gerçekten büyük bir beceriksizlik ya da komik derecede cüretkâr bir tavır
    • rz, Almanca konuşulan bölgelerde RechenZentrum yani veri merkezi için yaygın bir kısaltma; bu yüzden Almanca gibi okunuyor
      İngilizcedeki dcadmin gibi bir his veriyor. “gute Deutsche Wertarbeit” yapan tarafa outsource edilmiş olabilir, bir kurumun bundan keyif almış olabileceğini düşündürüyor olabilir ya da birinin sis perdesi de olabilir
  • Tenda’yı pek tanımıyordum ama ev/iş kullanımı için router, switch, kablosuz AP ve video gözetim ekipmanı tedarikçisi olduğu yazıyor; şirket profili de https://www.tendacn.com/us/profile adresinde
    Çinli markalar arasında aynı iç bileşenleri farklı kasa ile sunmak veya rakip marka gibi yeniden markalamak sık görüldüğünden, Tenda da böyle yapıyor olabilir diye düşündüm. Güvenlik kamerası tarafında bunu görmüştüm
    Keşke yazarlar firmware sürümlerinin yanı sıra zafiyetin nasıl doğrulanacağını da paylaşsaydı. Sonuçta Tenda sadece parolayı değiştirip “artık güvenli” diyebilir

    • Tenda oldukça eski bir şirket, bu yüzden yeniden markalama yapan türden olduğunu sanmıyorum
      Yaklaşık 10 yıl önce aldığım powerline Ethernet adaptörü hâlâ bir dolapta bir yerde duruyor. O zamanlar yönetici parolasının admin olması neredeyse standarttı ve çoğu zaman cihazın üstüne bile basılı olurdu
    • Tenda Asya’da çok yaygın bir marka ve birçok ISP tarafından varsayılan router olarak kullanılıyor
    • “Çin’in kendi geliştirdiği ilk router ve kablosuz ağ ekipmanı üreticisi” olduğu yönünde bir iddia da var
    • Eski sevgilim bir dönem Tenda’nın satış bölümünde çalışmıştı. Ondan önce de Amazon’daki ucuz yönetilemeyen switch bağlamında görmüştüm
      Devlet kurumu gibi bir yer değil, bu yüzden aşırı kötü niyetten çok kaliteyi gerçekten önemsememeleri daha olası görünüyor
    • ABD’de yaşıyorum ve bir Tenda WiFi USB dongle’ım var. Diğer markalar kadar ünlü olmasa da ortalıkta epey var
  • “Bağlanan kullanıcı adı doğrulanmadığı için, herhangi bir kullanıcı adı arka kapı parolasıyla birlikte kullanıldığında başarılı olur” kısmı gerçekten etkileyici
    Müşterilerin neden böyle bir üreticiye güvenmesi gerektiğini anlamıyorum. Bu noktadan sonra içinde satıcının sağladığı kara kutu firmware bulunan hiçbir router kullanmam gibi geliyor
    Kullanmadan önce her zaman OpenWRT benzeri bir şey kurarım; bu herhangi bir nedenle mümkün değilse, böyle bir ekipmanı satın almayı bile düşünmem

    • En son baktığımda OpenWRT, birçok cihazda MIMO ve beamforming özelliklerini düzgün destekleyemiyordu
      Apartman kompleksi gibi kablosuz ağların kalabalık ve parazitli olduğu yerlerde kapsama, sinyal gücü ve aktarım hızını korumak için bu özellikler önemli. OpenWRT tarafı bir çözüm buldu mu, yoksa üreticiler yüklenebilir firmware kullanan açık sürücülere karşı daha işbirlikçi mi oldu, merak ediyorum
    • 1Gbit’in üstünü kullanan oluyor mu? Doğru anladıysam Mikrotik CCR2004 gibi makul ve ucuz router’lar da tamamen kapalı, dolayısıyla tek seçenek kendin biraz derme çatma bir kutu yapmak
      O zaman da özel switch çipi kullanan ekipmanlara göre güç verimliliği ister istemez çok daha kötü oluyor
    • Yaklaşım iyi ama en başta güvenlik router’a bağlı olmamalı. Router’dan gelen saldırılara karşı da dayanıklı olmak gerekir
  • Ağ ekipmanı şirketlerinin bu kadar tutarlı biçimde çöp ürün çıkarması şaşırtıcı
    Üstelik hep amatör işi arka kapılar. Bari sofistike olsaydı, “herhâlde bir güvenlik kurumu istemiştir” deyip geçme payı olurdu

    • Bulunan arka kapılar amatör düzeyde olabilir
      Ya da özellikle bulunsun diye amatörce yerleştirilmiş olabilirler
    • Acı gerçek şu ki, düzgün güvenlik için fazladan ödeme yapan müşteri sayısı çok az. Ödeme yapsalar bile gerçekten alabilecekleri de ayrı bir soru
    • Bu, yanlışlıkla çöp üretmekten ziyade bir planı uygulayıp kararlar almanın sonucu gibi görünüyor
  • Bu bana aksine hoş bir haber gibi geldi. Birkaç Tenda küp router’ım var; aslında biraz mesh eklenmiş WiFi tekrarlayıcıdan ibaretler ama firmware uygulamaya o kadar bağlı ki bundan hep nefret ettim
    Artık root erişimi sayesinde uygulamayı atlamak çok daha kolay olabilir ve yeşil ışık göstergesi için sürekli microsoft.com adresine DNS sorgusu atan ping mekanizmasını da kapatabilirim
    Dürüst olmak gerekirse bu, kötü niyet çağrıştıran bir “arka kapı”dan çok firmware içine gömülü geliştirici erişim bilgileri ya da varsayılan kimlik bilgileri gibi görünüyor. Muhtemelen amaç kodun kendisini bırakmak ama üretim sürecinde anahtarı rastgeleleştirip tahmin edilemez hâle getirmekti; sonra da o ek adımı uğraştırıcı bulup çalıştırmadılar ya da üretim ayarları olmadan kaynak firmware’i doğrudan cihaza yazdılar ve böylece dışarı sızdı

    • Tüketici cihazlarında neden rastgeleleştirilmiş parola gereksin ki?
    • Aynen, rastgeleleştirildi ama evrenin genel olasılık dalgası özellikleri yüzünden hep rzadmin olarak rastgeleleşiyor. Bilim insanları da şaşkın
  • Bu yüzden genel amaçlı donanım ve Linux dağıtımlarıyla router/firewall’u kendim kuruyorum

    • 90’ların sonunda bunu ipchains ile yaptığımı hatırlıyorum. O dönemde çok pahalı olmayan bir router edinmenin tek yolu buydu
      Tüketici/prosumer router’lar daha sonra çıktı; sonuçta eski yine yeni oldu
    • Tenda, OpenWRT tarafından iyi destekleniyor
    • ISP’nin verdiği varsayılan router’dan kurtulmak için ben de kendim kurmayı düşünüyorum; önerebileceğiniz donanım ve dağıtımlar neler?
  • Otel WiFi’sinin tuhaf bir canavar gibi olduğu zamanlarda Tenda’nın seyahat tipi WiFi ürünlerini kullanmıştım
    Şimdi eSIM ve yaygın seyahat internet tarifeleri sayesinde, otel WiFi’si aksine en az güvenilir bağlantı yolu olabilir; bu yüzden pek gerekli görünmüyor
    Aynı fiyat bandında ücretsiz verilmiş bir Mikrotik cihazım da var; fiziksel olarak daha küçük ve daha ana akım bir kod tabanı gibi görünen bir şey çalıştırıyor. Mikrotik’in kalitesi hakkında ne denirse densin, istediğiniz neredeyse tüm ayar düğmelerini sunuyor

    • Şu anda otel işi yapıyorum ve WiFi’yi daha güvenli hale getirmek için epey emek verdim
      Tüm kullanıcılar kendi VLAN’larında ve her oda ayrı PPSK kullanıyor. Kimlik bilgileri de soyadı+oda numarası gibi saçma bir kalıptan değil, rastgele üretiliyor. Kendi erişim kontrol sistemimizi de yaptık ve o sırada bulabildiğimiz en güçlü anahtar kart olan MIFARE DESFire EV3 kullandık. Güvenliğin şaka gibi görünmediği bir otel kurmak için gerçekten uğraşıyorum
  • ABD/İsrail bunu asla yapmaz herhalde, o zaman gidip UniFi/Fortinet/Palo Alto alalım!

    • Çin güvenlik duvarının arkasına ABD güvenlik duvarı, onun arkasına da Rus güvenlik duvarı koyup birbirlerinin arka kapılarını engelledikleri ağ diyagramı memi bir ara dolaşıyordu
    • Bu şirketlerin, Cisco’yu da katarsak, “gizli kimlik doğrulama arka kapısı” sayısı ve hızı açısından yetişmek için yapacak çok işi var
      örn: https://www.thestack.technology/cisco-hard-coding-passwords-...
    • Şaka mı bilmiyorum ama ikisi de bunu zaten yaptı. Ve ABD’li şirketler, talep gelirse gizli emirlerle arka kapı eklemeye zorlanabilir
  • Benim ifconfig’im basit. Shenzhen’de yapılmışsa çöpe gider

    • Elektronik bileşenlerinin yarısından fazlası muhtemelen Shenzhen’de üretilmiştir
  • Yakın tarihli Tenda donanımı/firmware’i, aşağıdaki örneklerde olduğu gibi şifreli görünüyor; bu da denetimi daha zor hale getiriyor
    binwalk ile bakılan US_AC10V6.0si_V16.03.62.09_multi_TDE01.bin ve US_BE12ProV1.0mt_V16.03.66.23_TD01.bin dosyalarında OpenSSL şifrelemesi vardı
    Üçüncü denemede bakılan US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin şifreli değildi; bu da bu CVE’nin etki listesinde olmayan başka modellerde de sorun olabileceğini gösteriyor. İçerideki /squashfs-root/webroot_ro/default_ac.cfg ve default_router.cfg dosyalarında sys.rzadmin.username=rzadmin, sys.rzadmin.password=cnphZG1pbg== bulunuyor; Base64 ile açınca rzadmin çıkıyor. guest/guest de görünüyor
    Hızlıca baktığım kadarıyla sys.rzadmin.password, yalnızca /bin/httpd içindeki login() fonksiyonunda değeri alınıp karşılaştırıldığı bağlamda referans ediliyor ve yanlışsa "login err: password is wrong." dönüyor. Firmware’in hiçbir yerinde bu varsayılan değeri kullanıcının değiştirmesine izin veren bir kod referansı bulamadım
    Bonus olarak /bin/imsd içindeki imsd_upload_log_v1; SSID, MAC, IP adresi, sys.admin.username, sys.rzadmin.username ve saat dilimini topluyor, imsd_remote_pwd_get ise sys.admin.password değerini alıyor. İlgili kütüphane /lib/lubucapi.so da daha fazla incelenmeye değer bir ikili dosya gibi görünüyor; Tenda yönlendiricilerde bulut yönetimi veya uzaktan hata ayıklamayı mümkün kılan bir komut kümesi içeriyor gibi ve /bin/imsd içinde imsd_remote_pwd_get bulunmasının nedeni de bu olabilir