- कुछ Tenda नेटवर्क डिवाइस फर्मवेयर में दस्तावेज़ीकृत न किया गया authentication backdoor मौजूद है, जिससे वैध credentials के बिना वेब management interface पर admin अधिकार हासिल किए जा सकते हैं
- CVE-2026-11405 सामान्य password verification विफल होने के बाद
sys.rzadmin.passwordमान को वैकल्पिक password की तरह जांचने वाले flow के रूप में काम करता है - अगर इनपुट password सेटिंग वैल्यू से मेल खाता है, तो username verification के बिना role=2 admin session बनाया जाता है, जिससे authentication bypass हो जाता है
- प्रभाव का दायरा FH1201, W15E, AC10, AC5, AC6 श्रृंखला के कुछ firmware versions तक है, और exploit होने पर डिवाइस reconfiguration, network settings में बदलाव, और security features को disable करना संभव है
- patch उपलब्ध न होने की स्थिति में exposure कम करने के लिए remote web management disable करना और default LAN IP बदलना जैसे सीमित mitigation उपायों पर निर्भर रहना होगा
authentication backdoor कैसे काम करता है और इसका जोखिम
- Tenda घरों और enterprises के लिए routers, switches, wireless access points, video surveillance equipment जैसे network devices सप्लाई करता है
- इनमें से कई डिवाइस configuration और management के लिए web-based interface प्रदान करते हैं, जो आमतौर पर username और password से सुरक्षित होता है
- कमजोर firmware के
/bin/httpdbinary मेंlogin()function के भीतर दस्तावेज़ीकृत न किया गया backdoor authentication mechanism शामिल है- पहले सामान्य authentication path में MD5-आधारित password verification किया जाता है
- authentication विफल होने पर
GetValue("sys.rzadmin.password")को कॉल करके डिवाइस settings से वैकल्पिक password value लाई जाती है - इसके बाद user input password और stored settings value की plain-text
strcmp()से सीधे तुलना की जाती है - अगर वैल्यू मेल खाती है, तो
role=2admin privilege दिया जाता है और एक वैध session बना दिया जाता है
- इस path में username verification मौजूद नहीं है
- कोई भी username डालने पर, अगर उसे backdoor password के साथ submit किया जाए, तो authentication सफल हो जाता है
- यह authentication mechanism दस्तावेज़ीकृत नहीं है और management interface में भी दिखाई नहीं देता
- exploit सफल होने पर, configured admin account credentials से अलग, डिवाइस के web interface पर पूर्ण admin access मिल सकता है
- डिवाइस को reconfigure किया जा सकता है
- network settings बदली जा सकती हैं
- security features disable किए जा सकते हैं
- इससे local network में और व्यापक compromise हो सकता है
प्रभावित firmware और मौजूदा response
- प्रभावित firmware versions:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
- vendor के साथ vulnerability coordination विफल रही, इसलिए patch उपलब्ध नहीं है
- fixed version आने तक संभव mitigation:
- remote management disable करना
- अगर डिवाइस remote web management support करता है, तो इस feature को disable करना चाहिए
- इससे external network के attackers इंटरनेट के जरिए डिवाइस management dashboard तक पहुंच नहीं पाएंगे
- local network exposure सीमित करना
- default LAN IP address बदलने से ज्ञात default IP ranges को निशाना बनाने वाले automated scanners द्वारा opportunistic discovery कम की जा सकती है
- यह उपाय जानबूझकर या targeted network scans को नहीं रोकता
- remote management disable करना
- संबंधित identifiers और reference materials:
1 टिप्पणियां
Hacker News की राय
लेख में
sys.rzadmin.passwordका मान नहीं दिया गया है, लेकिन 2022 की एक analysis post में यह public है: https://boschko.ca/tenda_ac1200_router/स्पॉइलर: मान rzadmin है, और firmware में इसके अलावा भी काफ़ी दिलचस्प चीज़ें दिखती हैं
अगर backdoor होता, तो कम से कम थोड़ा छिपाने की कोशिश तो की होती :)
rzजर्मन-भाषी इलाक़ों में RechenZentrum, यानी data center का आम संक्षेप है, इसलिए यह जर्मन जैसा लगता हैअंग्रेज़ी में कुछ
dcadminजैसा। लगता है या तो “gute Deutsche Wertarbeit” वाली किसी टीम को outsourcing दी गई, या किसी संस्था ने इसमें हाथ डाला, या फिर यह किसी की smokescreen हो सकती हैमैं Tenda को ज़्यादा नहीं जानता था, लेकिन इसे home/business routers, switches, wireless APs, और video surveillance equipment सप्लायर बताया गया है, और company profile https://www.tendacn.com/us/profile पर है
Chinese brands में अक्सर ऐसा होता है कि अंदरूनी parts वही रहते हैं और सिर्फ़ बाहरी रूप बदलकर या competing brand जैसा rebrand कर दिया जाता है, इसलिए Tenda के बारे में भी ऐसा हो सकता है। मैंने security camera side में ऐसा देखा है
अच्छा होता अगर लेखकों ने firmware version के अलावा vulnerability verify करने का तरीका भी दिया होता। वरना Tenda सिर्फ़ password बदलकर “अब safe है” कह सकता है
लगभग 10 साल पहले खरीदा हुआ एक powerline Ethernet adapter अभी भी कहीं अलमारी में पड़ा है। तब admin password का
adminहोना लगभग standard था, और कई बार यह device पर छपा भी होता थायह कोई state-owned enterprise जैसी चीज़ नहीं लगती, इसलिए बहुत शातिर मंशा से ज़्यादा यह quality की बिलकुल परवाह न करने जैसा लगता है
“Connected username को verify नहीं किया जाता, इसलिए कोई भी username backdoor password के साथ काम करेगा” — कमाल है
समझ नहीं आता ग्राहक ऐसे manufacturer पर भरोसा क्यों करें। अब तो शायद मैं कभी भी vendor-provided black-box firmware वाला router इस्तेमाल नहीं करूँगा
इस्तेमाल से पहले हमेशा OpenWRT जैसा कुछ install करूँगा, और अगर किसी वजह से वह संभव न हो तो ऐसा hardware खरीदने के बारे में सोचूँगा भी नहीं
apartment complex जैसी जगहों में, जहाँ wireless network बहुत भीड़भाड़ और interference से भरे होते हैं, coverage, signal strength, और throughput के लिए ये features महत्वपूर्ण हैं। जानना चाहूँगा कि OpenWRT ने इसका कोई workaround निकाला है या manufacturers अब loadable firmware इस्तेमाल करने वाले open drivers के लिए ज़्यादा सहयोगी हो गए हैं
तब dedicated switch chip वाले equipment की तुलना में power efficiency काफ़ी खराब होगी
हैरानी होती है कि network equipment companies इतनी लगातार घटिया चीज़ें बनाती रहती हैं
और backdoor भी हमेशा amateur-जैसे होते हैं। अगर ये sophisticated होते, तो कम से कम यह सोचकर आगे बढ़ सकते थे कि “शायद किसी security agency ने करवाया होगा”
या यह भी हो सकता है कि उन्हें जानबूझकर amateur स्तर का रखा गया हो ताकि वे मिल जाएँ
यह तो उल्टा स्वागतयोग्य है। मेरे पास Tenda के कुछ cube routers हैं, जो असल में बस WiFi repeater में थोड़ा-सा mesh feature जोड़ने जैसे हैं, लेकिन firmware app से इतना बंधा हुआ है कि मुझे हमेशा खराब लगता था
अब root access से app को bypass करना बहुत आसान हो सकता है, और green light indicator के लिए
microsoft.comपर लगातार DNS query भेजने वाला ping mechanism भी बंद किया जा सकेगाईमानदारी से कहूँ तो यह बुरी मंशा वाला “backdoor” कम, और firmware में रह गए developer access credentials या default credentials ज़्यादा लगते हैं। शायद flow यह था कि code तो रहने दिया जाए, लेकिन production process में key को randomize करके उसे guess न किया जा सके, पर वह extra step चलाया ही नहीं गया, या production settings के बिना stock firmware flash कर दिया गया और वही leak हो गया
rzadminही बन जाता है। वैज्ञानिक भी हैरान हैंइसी वजह से मैं general-purpose hardware और Linux distribution के साथ router/firewall खुद बनाता हूँ
ipchainsके साथ यह करने की याद है। उस समय बहुत महँगा न होने वाला router पाने का यही एक तरीका थाबाद में consumer/prosumer routers आए, तो आख़िरकार पुरानी चीज़ फिर नई बन गई
जब होटल WiFi किसी अजीब जानवर जैसा लगता था, तब मैंने Tenda का ट्रैवल WiFi प्रोडक्ट इस्तेमाल किया था
अब eSIM और आम ट्रैवल इंटरनेट प्लान्स की वजह से होटल WiFi ही शायद सबसे कम भरोसेमंद कनेक्शन रास्ता हो सकता है, इसलिए इसकी खास ज़रूरत नहीं लगती
इसी कीमत के आसपास मुझे मुफ़्त में मिला एक Mikrotik डिवाइस भी है, जो फ़िज़िकली छोटा है और ज़्यादा मेनलाइन कोड जैसा दिखने वाला सॉफ़्टवेयर चलाता है। Mikrotik की क्वालिटी पर जो भी कहना हो, यह लगभग हर वह configuration knob देता है जो आप चाहें
हर यूज़र अपने-अपने VLAN में है, और हर कमरे के लिए अलग PPSK इस्तेमाल होता है। credentials भी surname+room number जैसे बेवकूफ़ाना पैटर्न नहीं हैं, बल्कि रैंडमली जनरेट किए जाते हैं। हमने अपना access control system भी बनाया है, और उस समय मिल सकने वाले सबसे मज़बूत keycard MIFARE DESFire EV3 का इस्तेमाल किया। मैं सच में ऐसा होटल बनाने की कोशिश कर रहा हूँ जिसकी security मज़ाक न लगे
अमेरिका/इज़राइल तो ऐसा कभी करेंगे ही नहीं, तो बस UniFi/Fortinet/Palo Alto खरीद लो!
उदाहरण: https://www.thestack.technology/cisco-hard-coding-passwords-...
मेरा
ifconfigआसान है। अगर Shenzhen में बना है, तो फेंक दोहाल के Tenda hardware/firmware नीचे दिए उदाहरणों की तरह encrypted हैं, इसलिए audit करना और मुश्किल लगता है
binwalkसे देखे गएUS_AC10V6.0si_V16.03.62.09_multi_TDE01.binऔरUS_BE12ProV1.0mt_V16.03.66.23_TD01.binपर OpenSSL encryption लगी हुई थीतीसरी कोशिश में
US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).binencrypted नहीं था, और यह दिखाता है कि इस CVE की प्रभाव सूची में न होने वाले दूसरे models में भी समस्या हो सकती है। अंदर के/squashfs-root/webroot_ro/default_ac.cfgऔरdefault_router.cfgमेंsys.rzadmin.username=rzadmin,sys.rzadmin.password=cnphZG1pbg==है, जो Base64 decode करने परrzadminनिकलता है।guest/guestभी दिखता हैजल्दी से देखने पर
sys.rzadmin.passwordका रेफ़रेंस सिर्फ/bin/httpdकीlogin()function में मिला, जहाँ वैल्यू लेकर compare किया जाता है, और गलत होने पर"login err: password is wrong."आता है। firmware में कहीं भी ऐसा code reference नहीं मिला जो यूज़र को यह default value बदलने देबोनस में,
/bin/imsdकाimsd_upload_log_v1SSID, MAC, IP address,sys.admin.username,sys.rzadmin.username, और timezone इकट्ठा करता है, औरimsd_remote_pwd_getsys.admin.passwordलाता है। संबंधित library/lib/lubucapi.soभी और देखने लायक binary लगती है; इसमें शायद ऐसा command set है जो Tenda router की cloud management या remote debugging को संभव बनाता है, और शायद यही वजह है कि/bin/imsdमेंimsd_remote_pwd_getमौजूद है