🔍 Contexte

Le CERT/CC (Carnegie Mellon University) a publiĂ© le 6 juillet 2026 la note de vulnĂ©rabilitĂ© VU#213560 concernant la dĂ©couverte d’une backdoor d’authentification cachĂ©e dans plusieurs versions du firmware de routeurs et Ă©quipements rĂ©seau Tenda.

đŸ› ïž Description technique

Le binaire du serveur web /bin/httpd contient une fonction login() qui, en cas d’Ă©chec de l’authentification normale (basĂ©e sur MD5), invoque GetValue("sys.rzadmin.password") pour rĂ©cupĂ©rer un mot de passe alternatif depuis la configuration de l’appareil. Une comparaison en clair via strcmp() est ensuite effectuĂ©e entre le mot de passe fourni par l’utilisateur et cette valeur. En cas de correspondance, un accĂšs administrateur (role=2) est accordĂ© avec crĂ©ation d’une session valide.

Le nom d’utilisateur n’est pas validĂ© : n’importe quel nom d’utilisateur fonctionne avec le mot de passe backdoor.

📩 Versions affectĂ©es

  • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
  • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
  • US_AC10V1.0re_V15.03.06.46_multi_TDE01
  • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
  • US_AC6V2.0RTL_V15.03.06.51_multi_T

⚠ Impact

L’exploitation rĂ©ussie permet un contrĂŽle administrateur total de l’interface web de l’appareil, indĂ©pendamment des identifiants configurĂ©s. Un attaquant peut reconfigurer l’appareil, modifier les paramĂštres rĂ©seau et dĂ©sactiver les fonctions de sĂ©curitĂ©.

đŸš« Correctif

Aucun patch n’est disponible. Le vendeur Tenda n’a pas pu ĂȘtre contactĂ© pour coordination. Seules des mesures de mitigation sont proposĂ©es (dĂ©sactivation de la gestion Ă  distance, restriction de l’exposition rĂ©seau locale).

📄 Type d’article

Note de vulnĂ©rabilitĂ© officielle publiĂ©e par le CERT/CC, sponsorisĂ©e par la CISA, visant Ă  informer les utilisateurs et opĂ©rateurs d’Ă©quipements Tenda affectĂ©s de l’existence d’une backdoor critique non corrigĂ©e.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1078 — Valid Accounts (Defense Evasion)
  • T1556 — Modify Authentication Process (Credential Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)

IOC

  • CVEs : CVE-2026-11405 — NVD · CIRCL
  • Fichiers : httpd
  • Chemins : /bin/httpd

🟡 Indice de vĂ©rification factuelle : 50/100 (moyenne)

  • ⬜ kb.cert.org — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 4354 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vĂ©rifiĂ© (0pts)
  • ✅ 3 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ 0/1 CVE(s) confirmĂ©e(s) (0pts)

🔗 Source originale : https://kb.cert.org/vuls/id/213560