Tenda Router'larda Kritik Backdoor: Yönetici Erişimi Sağlayan Gizli Açık Keşfedildi Yazılım

Tenda Router'larda Kritik Backdoor: Yönetici Erişimi Sağlayan Gizli Açık Keşfedildi

Tenda router'ların firmware'inde keşfedilen gizli bir backdoor, saldırganlara cihazın web yönetim paneline tam yönetici erişimi sağlıyor.

Tenda marka kablosuz yönlendiricilerin birçok modelinde bulunan firmware sürümlerinde, saldırganlara cihazın web yönetim paneline yönetici yetkisiyle erişme imkanı tanıyan gizli bir kimlik doğrulama arka kapısı (backdoor) tespit edildi. CERT Koordinasyon Merkezi (CERT/CC) tarafından yayınlanan güvenlik bültenine göre, Çin merkezli ağ ekipmanı üreticisine ulaşılamadığı için bu güvenlik açığı henüz giderilmiş değil.

CVE-2026-11405 olarak takip edilen bu güvenlik açığı, '/bin/httpd' web sunucusu ikili dosyasındaki 'login()' fonksiyonunda belgelenmemiş bir kimlik doğrulama mekanizmasından kaynaklanıyor. Kullanıcı oturum açmaya çalıştığında, router firmware'i önce standart MD5 tabanlı kimlik doğrulamayı dener. Bu başarısız olursa, 'sys.rzadmin.password' yapılandırma değerinden alternatif bir parola alır ve bunu doğrudan kullanıcının girdiği düz metin parolayla karşılaştırır. Parolalar eşleşirse, girilen kullanıcı adı ne olursa olsun cihaz, yönetici (rol=2) yetkisi verir ve geçerli bir oturum oluşturur.

CERT/CC, bu mekanizmanın hiçbir yerde belgelenmediğini veya yönetici arayüzünde bahsedilmediğini, bu nedenle kullanıcıların riskin farkında olmadığını belirtiyor. Başarılı bir istismar, yapılandırılmış yönetici hesap bilgilerinden bağımsız olarak cihazın web arayüzüne tam yönetici erişimi sağlıyor. Saldırgan, yönetici kontrolü ele geçirdikten sonra cihazı yeniden yapılandırabilir, ağ ayarlarını değiştirebilir ve güvenlik özelliklerini devre dışı bırakarak yerel ağın daha geniş çapta tehlikeye atılmasına olanak tanıyabilir.

CVE-2026-11405'ten etkilenen modeller arasında Tenda FH1201, W15E, AC10, AC5 ve AC6 V2 yer alıyor. CERT/CC, şu anda herhangi bir yama bulunmadığını ve Tenda kullanıcılarına, savunmasız arayüze internet erişimini engellemek için uzak web yönetim panelini devre dışı bırakmalarını tavsiye ediyor. Ayrıca, otomatik tarayıcılar tarafından fırsatçı keşfi azaltmak için varsayılan LAN IP adresinin değiştirilmesi öneriliyor. Henüz aktif istismar bildirilmese de, bu açığın yakın zamanda router güvenlik açıklarına odaklanan botnet'ler tarafından hedef alınması muhtemel görünüyor.

Paylaş: