neprihlásený Nedeľa, 12. júla 2026, dnes má meniny Nina
V routeroch čínskej značky predávanej aj v SR majú byť údajne zadné vrátka

Značky: Wi-Firouterybezpečnosť

DSL.sk, 11.7.2026


Vo firmvéri niektorých WiFi routerov čínskej značky Tenda sa majú údajne nachádzať zadné vrátka umožňujúce sa prihlásiť do admistrátorského rozhrania s administrátorskými oprávneniami bez znalosti nastaveného hesla.

Tvrdí to známy americký CERT/CC na Carnegie Mellon University, zraniteľnosť má pridelené označenie CVE-2026-11405.

Oznámenie CERT/CC je ale pomerne nejasné, chýbajú v ňom viaceré dôležité informácie a celkový rozsah problému nie je jasný.

Podľa informácií CERT/CC v niektorých firmvéroch od Tenda webový server pri prihlasovaní najskôr kontroluje zadané heslo užívateľa štandardným spôsobom oproti nakonfigurovanému heslu overením založeným na hashovacej funkcii MD5. Ak je ale porovnanie neúspešné, heslo zadané užívateľom je porovnávané aj oproti alternatívnemu heslu z konfigurácie zariadenia uloženému pod nastavením "sys.rzadmin.password" a užívateľovi sa router dovolí prihlásiť aj s týmto heslom. Po takomto prihlásení získa plné administrátorské oprávnenia.

Oznámenie CERT/CC jasne explicitne neuvádza, že toto heslo je pevne zabudované vo firmvéri. Evidentne to tak ale má byť, keď toto heslo označuje CERT/CC ako zadné vrátka. Zároveň CERT/CC neuvádza, či je toto heslo rovnaké pre všetky analyzované firméry.

Podľa oznámenia CERT/CC sú takéto zadné vrátka prítomné v piatich konkrétnych verziách firmvérov, podľa názvov firmvérov zrejme pre americké verzie modelov routerov Tenda AC5, AC6, AC10, FH1201 a W15E.

Presnosť týchto informácií ale spochybnil Will Dormann. Ten síce našiel popisované porovnanie oproti alternatívnemu heslu vo firmvéri pre model Tenda G300, podľa jeho analýzy sa ale nemá nachádzať v žiadnom firmvéri avizovanom v oznámení CERT/CC.

Vysvetlenie tohto rozporu zatiaľ zrejme nie je k dispozícii a nie je jasné, či sa napríklad dajú nájsť rozličné verzie firmvéru s rovnakým označením alebo firmvéry boli analyzované odlišnými spôsobmi.

Zároveň nie je k dispozícii ani vyjadrenie výrobcu routerov Tenda, keď CERT/CC sa podľa jeho oznámenia nedokázal s výrobcom skontaktovať. K dispozícii tak nie je ani oficiálne riešenie a CERT/CC odporúča zakázať manažment routerov z Internetu a zároveň pre sťaženie útokov z LAN zmeniť štandardne používané IP adresy v LAN.

Na Slovensku sa dlhodobo predávajú WiFi routery aj ďalšie produkty značky Tenda, aktuálne z vyššie uvedených modelov minimálne modely AC5 a AC10. Vzhľadom na neúplnosť doterajších informácií a chýbajúce oficiálne informácie od výrobcu nie je známe, či sa tento problém týka aj na Slovensku predávaných modelov.



Najnovšie články:

Lidlu unikli dáta slovenských zákazníkov
Slovensko má oficiálny nový rekord najvyššej teploty
Počet platieb cez QR kódy sa v júni výrazne zvýšil
Qualcomm oznámil prípravu ARM procesorov pre servery
Dodávky PC sa kvôli pamätiam už výrazne znížili


Diskusia:
                               
 

Nic nove pod slnkom. Nizkonakladova Tenda si zaplatila zlych programatorov co tuto "funkciu" nedokazu skryt.
Odpovedať Známka: 6.7 Hodnotiť:
 

Teda to nie je funkcia ale "feature" ktora sa nachadza vo vsetkych routroch a ked nie, tak aktualizacia to opravi.
Odpovedať Známka: 10.0 Hodnotiť:
 

Tak nejak, vestko ma zadne a uz povacsine aj predne vratka
Odpovedať Známka: 10.0 Hodnotiť:
 

aj čertovo kolo
Odpovedať Známka: 6.0 Hodnotiť:
 

Tenda nie je nizkonakladova.
Mercusys dokaze na absentujucich ledkach, farebne neodliseneho LAN/WAN, ... usetrit od TP-Linku 2-3 EUR.
Tenda vsetok lowcost podbijala o 10 EUR. Zjavne to niekto dotoval a nie je tazke uhadnut kto a preco.
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne tak. A v routeroch iných značiek predávaných aj v SR údajne zadné vrátka priekazne byť nemajú.
Odpovedať Známka: 1.4 Hodnotiť:
 

V minulosti boli zadné vrátka využívané najmä parobkami na vidieku, ktorí cez ne mohli vzniknúť nepozorovane až do ložnice vyvolenej.
Odpovedať Známka: 5.0 Hodnotiť:
 

V nasich ludovych songoch moze ist aj o zadne vratka samotnej gazdinej 😀
Odpovedať Hodnotiť:
 

Uz kedysi som scannoval porty na takej malej sikovnej kamere Tenda CP3, ked som ju chcel spojit s inym kamerovym systemom a objavil som jeden, kde ide nonstop nesifrovane stream obrazu aj zvuku v plnej kvalite, aj ked je v nastaveniach nastavene akekolvek obmedzenie/vypnutie v parametroch snimania.

Ani by som sa nedivil, keby vdaka tomuto unikali uzivatelom "domace videa", ktorych povod je neznamy.
Odpovedať Známka: 10.0 Hodnotiť:
 

naco kupujete Tendy.
priekazne staci 7-rocny DLink a nahrat si tam zadne vratka sam, podla copy-paste navodu z netu cez Wrt z pofiderneho zdroja
Odpovedať Hodnotiť:

Pridať komentár