Da igual el usuario — la contraseña siempre funciona: hallan un mecanismo de autenticación oculto en routers Tenda

Da igual el usuario — la contraseña siempre funciona: hallan un mecanismo de autenticación oculto en routers Tenda

Vulnerabilidad permite obtener privilegios de administrador en routers Tenda sin necesidad de la contraseña

image

El enrutador doméstico a menudo está en una esquina y funciona durante años sin atención, pero precisamente a través de estos dispositivos los atacantes pueden acceder cómodamente a toda la red. El centro de coordinación CERT informó sobre un mecanismo oculto que permite acceder a las versiones de firmware de Tenda y obtener privilegios de administrador sin la contraseña real.

La vulnerabilidad recibió el identificador CVE-2026-11405. El problema afecta a varias versiones del firmware de dispositivos Tenda, incluidas las de los modelos FH1201, W15E, AC10, AC5 y AC6. La empresa fabrica enrutadores, conmutadores, puntos de acceso inalámbricos y equipos de videovigilancia, y dichos dispositivos se gestionan normalmente a través de una interfaz web con usuario y contraseña.

Los especialistas del CERT encontraron en el archivo /bin/httpd un mecanismo oculto que verifica la contraseña. Primero el dispositivo intenta autorizar al usuario de la forma habitual, pero si eso falla, recurre al valor de respaldo sys.rzadmin.password en la configuración. Luego el firmware compara la contraseña introducida con el valor almacenado en texto plano. Si los valores coinciden, el usuario obtiene privilegios de administrador.

Cuando el sistema verifica la contraseña, el nombre de usuario no se tiene en cuenta. Al atacante le basta indicar cualquier nombre y adivinar la contraseña oculta, tras lo cual el dispositivo crea una sesión válida con privilegios de administrador. En la documentación de Tenda no se describe este mecanismo, y en el panel de administración el propietario del dispositivo no ve ajustes relacionados con él.

Un ataque exitoso da el control total sobre la interfaz web. El atacante puede cambiar los parámetros de la red, desactivar funciones de seguridad, reconfigurar el dispositivo y usar el enrutador como punto de entrada para ataques posteriores a la red local.

CERT informó que no pudo ponerse en contacto con Tenda para coordinar la divulgación de este problema. La vulnerabilidad aún no se ha corregido, por lo que se recomienda a los propietarios de los dispositivos vulnerables desactivar la administración remota a través de Internet y limitar el acceso al panel de administración desde la red local. Si se cambia la dirección local predeterminada, esto puede reducir la probabilidad de que el dispositivo sea encontrado automáticamente, pero no protegerá contra el escaneo dirigido.