Un mécanisme d'authentification secret a été identifié dans le firmware de plusieurs routeurs de la marque Tenda, permettant à un individu malveillant de contourner totalement la procédure de vérification des identifiants et d'accéder aux fonctions d'administration de l'appareil.
Cette vulnérabilité, référencée sous l'identifiant CVE-2026-11405, a été rendue publique le 6 juillet 2026 par le CERT Coordination Center (CERT/CC), basé au Software Engineering Institute de l'université Carnegie Mellon.
Fonctionnement de la faille
L'équipe de recherche a localisé le problème dans le binaire du serveur web /bin/httpd. La fonction login() du logiciel suit initialement un chemin d'authentification classique reposant sur une vérification de mot de passe via un hachage MD5. Cependant, si cette première tentative échoue, le programme exécute une instruction GetValue("sys.rzadmin.password") afin de récupérer une valeur de mot de passe alternative stockée dans la configuration de l'appareil. Il procède ensuite à une comparaison directe en texte clair avec le mot de passe saisi par l'utilisateur au moyen d'une fonction strcmp(). Si la correspondance est établie, un accès de niveau administrateur (rôle 2) est accordé et une session valide est créée.
Impact et modèles concernés
Le nom d'utilisateur n'étant pas vérifié, n'importe quel identifiant saisi par l'attaquant fonctionne lorsqu'il est associé au mot de passe issu de cette porte dérobée. La liste des versions de firmware affectées comprend notamment les modèles US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD, US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE, US_AC10V1.0re_V15.03.06.46_multi_TDE01, US_AC5V1.0RTL_V15.03.06.48_multi_TDE01, ainsi que US_AC6V2.0RTL_V15.03.06.51_multi_T.
Les experts soulignent que cette mécanique d'authentification dissimulée n'est ni documentée ni visible via aucune interface d'administration.
Absence de correctif
Le CERT/CC indique n'avoir pas réussi à entrer en contact avec le fabricant Tenda pour coordonner la divulgation de cette vulnérabilité. Aucun correctif n'est donc actuellement disponible. En conséquence, l'organisme recommande plusieurs mesures de contournement pour limiter les risques.
Mesures de protection conseillées
Les utilisateurs sont invités à désactiver la fonction de gestion à distance sur leur routeur si celle-ci est prise en charge, afin d'empêcher les attaquants situés sur des réseaux externes d'accéder au panneau d'administration via Internet. Il est également suggéré de modifier l'adresse IP locale par défaut de l'appareil pour réduire les risques de découverte opportuniste par des scanners automatisés ciblant des plages d'adresses IP connues. Cette mesure n'empêche toutefois pas un balayage délibéré ou ciblé du réseau.
Cette découverte a été rapportée par un chercheur ayant souhaité conserver l'anonymat. Le bulletin de vulnérabilité a été rédigé par Bob Kemerer pour le CERT/CC.