Descoberta e escopo da vulnerabilidade
O CERT Coordination Center (CERT/CC) emitiu um alerta crítico sobre uma vulnerabilidade de segurança descoberta em versões de firmware de roteadores fabricados pela empresa chinesa Tenda. A falha, rastreada como CVE-2026-11405, consiste em um backdoor de autenticação não documentado embutido no firmware, que permite acesso administrativo direto às interfaces de gerenciamento web dos dispositivos sem a necessidade de credenciais válidas.
A descoberta foi publicada pela CERT Coordination Center sob a nota de vulnerabilidade VU#213560 em 6 de julho de 2026. O problema afeta múltiplas versões de firmware em diversos modelos de roteadores Tenda, incluindo as séries FH1201, W15E, AC10, AC5 e AC6. Estes dispositivos são amplamente utilizados em ambientes domésticos e de pequenas empresas, onde dependem de interfaces de gerenciamento web protegidas por autenticação de usuário e senha.
Análise técnica detalhada
A vulnerabilidade reside no binário do servidor web localizado em /bin/httpd. Especificamente, o problema está na função login(), que contém um mecanismo de autenticação não documentado. Sob condições normais, a função valida as credenciais do usuário usando um processo de verificação de senha baseado em MD5. No entanto, quando a autenticação falha, a função segue um caminho de execução alternativo que introduz o backdoor oculto.
Este backdoor recupera um valor de senha secundário da configuração do dispositivo usando a função GetValue("sys.rzadmin.password"). Em vez de aplicar hashing padrão ou comparação segura, o sistema realiza uma comparação direta em texto plano (plaintext strcmp) entre a senha fornecida e o valor armazenado. Se a comparação for bem-sucedida, o sistema concede privilégios administrativos, atribuindo role=2 e criando uma sessão válida.
Um aspecto crítico desta vulnerabilidade é que o nome de usuário não é validado durante este processo de fallback. Isso significa que um atacante pode usar qualquer nome de usuário arbitrário junto com a senha do backdoor para obter controle administrativo total. A presença deste mecanismo não é documentada e não pode ser identificada através da interface administrativa padrão, tornando-o particularmente perigoso.
Impacto e alcance
A exploração bem-sucedida permite que atacantes comprometam totalmente os dispositivos afetados. Com acesso administrativo, os atacantes podem modificar configurações de rede, redirecionar tráfego, desativar controles de segurança ou implantar firmware malicioso. Este nível de controle pode facilitar ataques mais amplos, incluindo interceptação man-in-the-middle, persistência na rede e movimento lateral para outros sistemas conectados.
A descoberta de backdoors ocultos levanta sérias preocupações sobre as práticas de segurança de firmware e a confiabilidade da cadeia de suprimentos. Usuários e organizações que dependem de dispositivos Tenda afetados devem monitorar de perto atualizações e considerar a substituição de hardware vulnerável se nenhuma correção se tornar disponível.
Medidas de mitigação recomendadas
No momento da divulgação, nenhum patch oficial ou atualização de firmware foi liberado pela Tenda, e tentativas de coordenar com o fornecedor foram bem-sucedidas. Como resultado, os usuários são aconselhados a tomar medidas imediatas de mitigação para reduzir a exposição.
- Desativar gerenciamento web remoto: A principal recomendação de segurança é desativar os recursos de gerenciamento web remoto para prevenir acesso externo à interface do dispositivo.
- Alterar endereço IP local: Mudar o endereço IP local padrão pode reduzir a probabilidade de ataques de varredura automatizada que visam intervalos de endereço conhecidos, embora isso não impeça atacantes determinados.
- Monitoramento de tráfego: Equipes de SOC devem monitorar tentativas de acesso não autorizado às interfaces de gerenciamento dos roteadores Tenda.
Implicações para CISOs e governança
Para profissionais de segurança da informação, este incidente reforça a necessidade de inventário rigoroso de dispositivos de rede e a avaliação de riscos na cadeia de suprimentos de hardware. A presença de credenciais hard-coded ou backdoors em firmware de dispositivos de borda representa um risco significativo de superfície de ataque expandida. A LGPD pode ser acionada se dispositivos comprometidos levarem ao vazamento de dados de clientes ou funcionários, exigindo notificação às autoridades e afetados.
Perguntas frequentes
Existe uma correção oficial disponível? Não, no momento da divulgação, a Tenda não lançou um patch. Os usuários devem aplicar as medidas de mitigação listadas.
Quais modelos são afetados? As séries FH1201, W15E, AC10, AC5 e AC6, entre outras, dependendo da versão do firmware.
Como verificar se meu dispositivo é vulnerável? Não há ferramenta de verificação pública disponível. A recomendação é tratar todos os dispositivos Tenda com firmware não atualizado como potencialmente vulneráveis até que uma correção seja confirmada.