đ Contexte
Le CERT/CC (Carnegie Mellon University) a publiĂ© le 6 juillet 2026 la note de vulnĂ©rabilitĂ© VU#213560 concernant la dĂ©couverte d’une backdoor d’authentification cachĂ©e dans plusieurs versions du firmware de routeurs et Ă©quipements rĂ©seau Tenda.
đ ïž Description technique
Le binaire du serveur web /bin/httpd contient une fonction login() qui, en cas d’Ă©chec de l’authentification normale (basĂ©e sur MD5), invoque GetValue("sys.rzadmin.password") pour rĂ©cupĂ©rer un mot de passe alternatif depuis la configuration de l’appareil. Une comparaison en clair via strcmp() est ensuite effectuĂ©e entre le mot de passe fourni par l’utilisateur et cette valeur. En cas de correspondance, un accĂšs administrateur (role=2) est accordĂ© avec crĂ©ation d’une session valide.
Le nom d’utilisateur n’est pas validĂ© : n’importe quel nom d’utilisateur fonctionne avec le mot de passe backdoor.
đŠ Versions affectĂ©es
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
â ïž Impact
L’exploitation rĂ©ussie permet un contrĂŽle administrateur total de l’interface web de l’appareil, indĂ©pendamment des identifiants configurĂ©s. Un attaquant peut reconfigurer l’appareil, modifier les paramĂštres rĂ©seau et dĂ©sactiver les fonctions de sĂ©curitĂ©.
đ« Correctif
Aucun patch n’est disponible. Le vendeur Tenda n’a pas pu ĂȘtre contactĂ© pour coordination. Seules des mesures de mitigation sont proposĂ©es (dĂ©sactivation de la gestion Ă distance, restriction de l’exposition rĂ©seau locale).
đ Type d’article
Note de vulnĂ©rabilitĂ© officielle publiĂ©e par le CERT/CC, sponsorisĂ©e par la CISA, visant Ă informer les utilisateurs et opĂ©rateurs d’Ă©quipements Tenda affectĂ©s de l’existence d’une backdoor critique non corrigĂ©e.
đ§ TTPs et IOCs dĂ©tectĂ©s
TTP
- T1078 â Valid Accounts (Defense Evasion)
- T1556 â Modify Authentication Process (Credential Access)
- T1190 â Exploit Public-Facing Application (Initial Access)
IOC
đĄ Indice de vĂ©rification factuelle : 50/100 (moyenne)
- ⏠kb.cert.org â source non rĂ©fĂ©rencĂ©e (0pts)
- â 4354 chars â texte complet (fulltext extrait) (15pts)
- â 3 IOCs (IPs/domaines/CVEs) (10pts)
- ⏠pas d’IOC vĂ©rifiĂ© (0pts)
- â 3 TTPs MITRE identifiĂ©es (15pts)
- â date extraite du HTML source (10pts)
- ⏠aucun acteur de menace nommé (0pts)
- ⏠0/1 CVE(s) confirmée(s) (0pts)
đ Source originale : https://kb.cert.org/vuls/id/213560