1 पॉइंट द्वारा GN⁺ 4 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • कुछ Tenda नेटवर्क डिवाइस फर्मवेयर में दस्तावेज़ीकृत न किया गया authentication backdoor मौजूद है, जिससे वैध credentials के बिना वेब management interface पर admin अधिकार हासिल किए जा सकते हैं
  • CVE-2026-11405 सामान्य password verification विफल होने के बाद sys.rzadmin.password मान को वैकल्पिक password की तरह जांचने वाले flow के रूप में काम करता है
  • अगर इनपुट password सेटिंग वैल्यू से मेल खाता है, तो username verification के बिना role=2 admin session बनाया जाता है, जिससे authentication bypass हो जाता है
  • प्रभाव का दायरा FH1201, W15E, AC10, AC5, AC6 श्रृंखला के कुछ firmware versions तक है, और exploit होने पर डिवाइस reconfiguration, network settings में बदलाव, और security features को disable करना संभव है
  • patch उपलब्ध न होने की स्थिति में exposure कम करने के लिए remote web management disable करना और default LAN IP बदलना जैसे सीमित mitigation उपायों पर निर्भर रहना होगा

authentication backdoor कैसे काम करता है और इसका जोखिम

  • Tenda घरों और enterprises के लिए routers, switches, wireless access points, video surveillance equipment जैसे network devices सप्लाई करता है
  • इनमें से कई डिवाइस configuration और management के लिए web-based interface प्रदान करते हैं, जो आमतौर पर username और password से सुरक्षित होता है
  • कमजोर firmware के /bin/httpd binary में login() function के भीतर दस्तावेज़ीकृत न किया गया backdoor authentication mechanism शामिल है
    • पहले सामान्य authentication path में MD5-आधारित password verification किया जाता है
    • authentication विफल होने पर GetValue("sys.rzadmin.password") को कॉल करके डिवाइस settings से वैकल्पिक password value लाई जाती है
    • इसके बाद user input password और stored settings value की plain-text strcmp() से सीधे तुलना की जाती है
    • अगर वैल्यू मेल खाती है, तो role=2 admin privilege दिया जाता है और एक वैध session बना दिया जाता है
  • इस path में username verification मौजूद नहीं है
    • कोई भी username डालने पर, अगर उसे backdoor password के साथ submit किया जाए, तो authentication सफल हो जाता है
    • यह authentication mechanism दस्तावेज़ीकृत नहीं है और management interface में भी दिखाई नहीं देता
  • exploit सफल होने पर, configured admin account credentials से अलग, डिवाइस के web interface पर पूर्ण admin access मिल सकता है
    • डिवाइस को reconfigure किया जा सकता है
    • network settings बदली जा सकती हैं
    • security features disable किए जा सकते हैं
    • इससे local network में और व्यापक compromise हो सकता है

प्रभावित firmware और मौजूदा response

  • प्रभावित firmware versions:
    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • vendor के साथ vulnerability coordination विफल रही, इसलिए patch उपलब्ध नहीं है
  • fixed version आने तक संभव mitigation:
    • remote management disable करना
      • अगर डिवाइस remote web management support करता है, तो इस feature को disable करना चाहिए
      • इससे external network के attackers इंटरनेट के जरिए डिवाइस management dashboard तक पहुंच नहीं पाएंगे
    • local network exposure सीमित करना
      • default LAN IP address बदलने से ज्ञात default IP ranges को निशाना बनाने वाले automated scanners द्वारा opportunistic discovery कम की जा सकती है
      • यह उपाय जानबूझकर या targeted network scans को नहीं रोकता
  • संबंधित identifiers और reference materials:

1 टिप्पणियां

 
GN⁺ 4 시간 전
Hacker News की राय
  • लेख में sys.rzadmin.password का मान नहीं दिया गया है, लेकिन 2022 की एक analysis post में यह public है: https://boschko.ca/tenda_ac1200_router/
    स्पॉइलर: मान rzadmin है, और firmware में इसके अलावा भी काफ़ी दिलचस्प चीज़ें दिखती हैं

    • इस स्तर पर इसे backdoor से ज़्यादा खुला फ्रंट डोर कहना चाहिए
    • अब यह backdoor भी नहीं, बल्कि पुराने ऐसे hardware में आम मिलने वाला बेवकूफ़ default root password डिज़ाइन ज़्यादा लगता है
      अगर backdoor होता, तो कम से कम थोड़ा छिपाने की कोशिश तो की होती :)
    • अगर यह इतनी ढीली तरह से छिपा है, तो यह deploy करने से पहले हटाना भूल गया कोई developer convenience feature लगता है
    • आख़िरी disclosure के लगभग 4 साल बाद भी अगर password वही है, तो या तो यह बेहद अयोग्यता है, या फिर हद से ज़्यादा बेशर्मी
    • rz जर्मन-भाषी इलाक़ों में RechenZentrum, यानी data center का आम संक्षेप है, इसलिए यह जर्मन जैसा लगता है
      अंग्रेज़ी में कुछ dcadmin जैसा। लगता है या तो “gute Deutsche Wertarbeit” वाली किसी टीम को outsourcing दी गई, या किसी संस्था ने इसमें हाथ डाला, या फिर यह किसी की smokescreen हो सकती है
  • मैं Tenda को ज़्यादा नहीं जानता था, लेकिन इसे home/business routers, switches, wireless APs, और video surveillance equipment सप्लायर बताया गया है, और company profile https://www.tendacn.com/us/profile पर है
    Chinese brands में अक्सर ऐसा होता है कि अंदरूनी parts वही रहते हैं और सिर्फ़ बाहरी रूप बदलकर या competing brand जैसा rebrand कर दिया जाता है, इसलिए Tenda के बारे में भी ऐसा हो सकता है। मैंने security camera side में ऐसा देखा है
    अच्छा होता अगर लेखकों ने firmware version के अलावा vulnerability verify करने का तरीका भी दिया होता। वरना Tenda सिर्फ़ password बदलकर “अब safe है” कह सकता है

    • Tenda काफ़ी पुरानी company है, इसलिए यह rebranding वाला मामला कम लगता है
      लगभग 10 साल पहले खरीदा हुआ एक powerline Ethernet adapter अभी भी कहीं अलमारी में पड़ा है। तब admin password का admin होना लगभग standard था, और कई बार यह device पर छपा भी होता था
    • Tenda एशिया में बहुत आम brand है, और कई ISP इसे default router की तरह इस्तेमाल करते हैं
    • यह दावा भी है कि यह “चीन की पहली self-developed router और wireless network equipment manufacturer” है
    • मेरी ex Tenda के sales department में काम कर चुकी है। इससे पहले भी मैंने इसे Amazon पर मिलने वाले सस्ते unmanaged switches के संदर्भ में देखा था
      यह कोई state-owned enterprise जैसी चीज़ नहीं लगती, इसलिए बहुत शातिर मंशा से ज़्यादा यह quality की बिलकुल परवाह न करने जैसा लगता है
    • मैं अमेरिका में रहता हूँ और मेरे पास Tenda का WiFi USB dongle है। यह दूसरे brands जितना मशहूर नहीं, लेकिन काफ़ी दिख जाता है
  • “Connected username को verify नहीं किया जाता, इसलिए कोई भी username backdoor password के साथ काम करेगा” — कमाल है
    समझ नहीं आता ग्राहक ऐसे manufacturer पर भरोसा क्यों करें। अब तो शायद मैं कभी भी vendor-provided black-box firmware वाला router इस्तेमाल नहीं करूँगा
    इस्तेमाल से पहले हमेशा OpenWRT जैसा कुछ install करूँगा, और अगर किसी वजह से वह संभव न हो तो ऐसा hardware खरीदने के बारे में सोचूँगा भी नहीं

    • आख़िरी बार जब देखा था, OpenWRT कई devices पर MIMO और beamforming को ठीक से support नहीं करता था
      apartment complex जैसी जगहों में, जहाँ wireless network बहुत भीड़भाड़ और interference से भरे होते हैं, coverage, signal strength, और throughput के लिए ये features महत्वपूर्ण हैं। जानना चाहूँगा कि OpenWRT ने इसका कोई workaround निकाला है या manufacturers अब loadable firmware इस्तेमाल करने वाले open drivers के लिए ज़्यादा सहयोगी हो गए हैं
    • क्या लोग सच में 1Gbit से ऊपर इस्तेमाल करते हैं? अगर मैं सही समझ रहा हूँ, तो Mikrotik CCR2004 जैसा अच्छा और सस्ता router भी पूरी तरह closed है, इसलिए एकमात्र विकल्प खुद कोई साधारण box बनाना ही बचता है
      तब dedicated switch chip वाले equipment की तुलना में power efficiency काफ़ी खराब होगी
    • approach अच्छी है, लेकिन मूल रूप से security को router पर निर्भर नहीं होना चाहिए। उसे router से आने वाले attack भी झेल पाने चाहिए
  • हैरानी होती है कि network equipment companies इतनी लगातार घटिया चीज़ें बनाती रहती हैं
    और backdoor भी हमेशा amateur-जैसे होते हैं। अगर ये sophisticated होते, तो कम से कम यह सोचकर आगे बढ़ सकते थे कि “शायद किसी security agency ने करवाया होगा”

    • हो सकता है कि जो backdoor मिलते हैं वे amateur level के हों
      या यह भी हो सकता है कि उन्हें जानबूझकर amateur स्तर का रखा गया हो ताकि वे मिल जाएँ
    • दुखद सच्चाई यह है कि सही security के लिए अतिरिक्त पैसा देने वाले ग्राहक बहुत कम हैं। और अगर वे पैसा दें भी, तो बदले में सच में क्या मिलेगा, यह भी सवाल है
    • यह गलती से बना कचरा नहीं लगता, बल्कि किसी plan का पालन करके और फैसले लेकर बना नतीजा लगता है
  • यह तो उल्टा स्वागतयोग्य है। मेरे पास Tenda के कुछ cube routers हैं, जो असल में बस WiFi repeater में थोड़ा-सा mesh feature जोड़ने जैसे हैं, लेकिन firmware app से इतना बंधा हुआ है कि मुझे हमेशा खराब लगता था
    अब root access से app को bypass करना बहुत आसान हो सकता है, और green light indicator के लिए microsoft.com पर लगातार DNS query भेजने वाला ping mechanism भी बंद किया जा सकेगा
    ईमानदारी से कहूँ तो यह बुरी मंशा वाला “backdoor” कम, और firmware में रह गए developer access credentials या default credentials ज़्यादा लगते हैं। शायद flow यह था कि code तो रहने दिया जाए, लेकिन production process में key को randomize करके उसे guess न किया जा सके, पर वह extra step चलाया ही नहीं गया, या production settings के बिना stock firmware flash कर दिया गया और वही leak हो गया

    • consumer devices में randomized password की ज़रूरत ही क्यों है?
    • सही है, password randomize तो हुआ था, लेकिन ब्रह्मांड की सार्वभौमिक probability wave properties की वजह से वह हर बार rzadmin ही बन जाता है। वैज्ञानिक भी हैरान हैं
  • इसी वजह से मैं general-purpose hardware और Linux distribution के साथ router/firewall खुद बनाता हूँ

    • 90 के दशक के आख़िर में ipchains के साथ यह करने की याद है। उस समय बहुत महँगा न होने वाला router पाने का यही एक तरीका था
      बाद में consumer/prosumer routers आए, तो आख़िरकार पुरानी चीज़ फिर नई बन गई
    • Tenda को OpenWRT में काफ़ी अच्छा support मिलता है
    • मैं ISP के दिए default router से निकलने के लिए खुद setup बनाने की सोच रहा हूँ; कोई hardware और distribution recommendation हो तो बताइए
  • जब होटल WiFi किसी अजीब जानवर जैसा लगता था, तब मैंने Tenda का ट्रैवल WiFi प्रोडक्ट इस्तेमाल किया था
    अब eSIM और आम ट्रैवल इंटरनेट प्लान्स की वजह से होटल WiFi ही शायद सबसे कम भरोसेमंद कनेक्शन रास्ता हो सकता है, इसलिए इसकी खास ज़रूरत नहीं लगती
    इसी कीमत के आसपास मुझे मुफ़्त में मिला एक Mikrotik डिवाइस भी है, जो फ़िज़िकली छोटा है और ज़्यादा मेनलाइन कोड जैसा दिखने वाला सॉफ़्टवेयर चलाता है। Mikrotik की क्वालिटी पर जो भी कहना हो, यह लगभग हर वह configuration knob देता है जो आप चाहें

    • मैं अभी होटल पर काम कर रहा हूँ, और WiFi को ज़्यादा सुरक्षित बनाने के लिए काफ़ी मेहनत की है
      हर यूज़र अपने-अपने VLAN में है, और हर कमरे के लिए अलग PPSK इस्तेमाल होता है। credentials भी surname+room number जैसे बेवकूफ़ाना पैटर्न नहीं हैं, बल्कि रैंडमली जनरेट किए जाते हैं। हमने अपना access control system भी बनाया है, और उस समय मिल सकने वाले सबसे मज़बूत keycard MIFARE DESFire EV3 का इस्तेमाल किया। मैं सच में ऐसा होटल बनाने की कोशिश कर रहा हूँ जिसकी security मज़ाक न लगे
  • अमेरिका/इज़राइल तो ऐसा कभी करेंगे ही नहीं, तो बस UniFi/Fortinet/Palo Alto खरीद लो!

    • एक समय ऐसा network diagram meme घूमता था जिसमें Chinese firewall के पीछे American firewall, और उसके पीछे Russian firewall रखा जाता था ताकि वे एक-दूसरे के backdoor को रोकें
    • उन कंपनियों को, और Cisco को भी शामिल करें, तो “छिपे हुए authentication backdoor” की मात्रा और रफ़्तार तक पहुँचने के लिए उन्हें अभी काफ़ी मेहनत करनी होगी
      उदाहरण: https://www.thestack.technology/cisco-hard-coding-passwords-...
    • यह मज़ाक है या नहीं, पता नहीं, लेकिन दोनों ने पहले ही ऐसा किया है। और अमेरिकी कंपनियों को ज़रूरत पड़ने पर secret order के तहत backdoor लागू करने के लिए मजबूर किया जा सकता है
  • मेरा ifconfig आसान है। अगर Shenzhen में बना है, तो फेंक दो

    • तुम्हारे इलेक्ट्रॉनिक्स के आधे से ज़्यादा components शायद Shenzhen में बने होंगे
  • हाल के Tenda hardware/firmware नीचे दिए उदाहरणों की तरह encrypted हैं, इसलिए audit करना और मुश्किल लगता है
    binwalk से देखे गए US_AC10V6.0si_V16.03.62.09_multi_TDE01.bin और US_BE12ProV1.0mt_V16.03.66.23_TD01.bin पर OpenSSL encryption लगी हुई थी
    तीसरी कोशिश में US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin encrypted नहीं था, और यह दिखाता है कि इस CVE की प्रभाव सूची में न होने वाले दूसरे models में भी समस्या हो सकती है। अंदर के /squashfs-root/webroot_ro/default_ac.cfg और default_router.cfg में sys.rzadmin.username=rzadmin, sys.rzadmin.password=cnphZG1pbg== है, जो Base64 decode करने पर rzadmin निकलता है। guest/guest भी दिखता है
    जल्दी से देखने पर sys.rzadmin.password का रेफ़रेंस सिर्फ /bin/httpd की login() function में मिला, जहाँ वैल्यू लेकर compare किया जाता है, और गलत होने पर "login err: password is wrong." आता है। firmware में कहीं भी ऐसा code reference नहीं मिला जो यूज़र को यह default value बदलने दे
    बोनस में, /bin/imsd का imsd_upload_log_v1 SSID, MAC, IP address, sys.admin.username, sys.rzadmin.username, और timezone इकट्ठा करता है, और imsd_remote_pwd_get sys.admin.password लाता है। संबंधित library /lib/lubucapi.so भी और देखने लायक binary लगती है; इसमें शायद ऐसा command set है जो Tenda router की cloud management या remote debugging को संभव बनाता है, और शायद यही वजह है कि /bin/imsd में imsd_remote_pwd_get मौजूद है