世界を動かす技術を、日本語で。

Tendaファームウェア(複数のバージョン)に隠れた認証バックドアが含まれている

2026年7月8日原文(kb.cert.org)

概要

  • Tenda製ファームウェア に管理者権限の 認証バックドア が存在
  • 攻撃者は CVE-2026-11405 を悪用し、パスワード不要で管理権限を取得可能
  • 影響を受ける複数のバージョンが特定済み
  • 修正パッチ未提供 のため、回避策のみ案内
  • リモート管理無効化LAN設定変更 が推奨される

Tendaファームウェアの認証バックドア脆弱性(CVE-2026-11405)

  • Tendaは ルーターやスイッチ等のネットワーク機器 を提供
  • 多くの製品に Web管理インターフェース 搭載
  • 通常は ユーザー名・パスワード で保護
  • /bin/httpdバイナリの login()関数 に認証バックドア実装
    • 初回は MD5認証 による通常のパスワード検証
    • 失敗時、 GetValue("sys.rzadmin.password") で設定ファイルからバックドア用パスワード取得
    • 入力パスワードと設定値を 平文でstrcmp()比較
    • 一致時、 role=2(管理者権限) でセッション作成
    • ユーザー名は検証されず、任意のユーザー名で認証可能
  • このバックドアは 非公開・非表示 であり、管理画面から確認不可

影響を受けるバージョン

  • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
  • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
  • US_AC10V1.0re_V15.03.06.46_multi_TDE01
  • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
  • US_AC6V2.0RTL_V15.03.06.51_multi_T

影響

  • 攻撃者は 管理者パスワード不要 でWeb管理画面にフルアクセス
  • ネットワーク設定変更セキュリティ機能無効化 が可能
  • ローカルネットワーク全体の危殆化 につながるリスク

回避策・対策

  • ベンダーとの調整不可 につき、現時点で修正パッチ未提供

  • 以下の ワークアラウンド を推奨

    • リモート管理機能の無効化
      • 外部ネットワークからの管理画面アクセス遮断
    • LAN側IPアドレスの変更
      • デフォルトIPレンジからの自動スキャン対策
      • 意図的なスキャンには無効である点に注意

謝辞・その他情報

管理者・ユーザーへの推奨事項

  • 機器の ファームウェアアップデート情報 を定期的に確認
  • 不審なアクセスログの監視ネットワーク機器の物理的管理 強化
  • 代替機器の導入検討

Hackerたちの意見

Tendaは、ルーターやスイッチ、無線アクセスポイント、監視カメラなどの家庭やビジネス向けネットワーク機器のサプライヤーです。Tendaについてはあまり知らなかったな。 > 深圳Tendaテクノロジー株式会社( https://www.tendacn.com/us/profile )Tendaって、ただのリブランドかもしれないよね?中国のブランドは、内部は同じだけど外見が違う「競合」ブランドを作ったり、リブランドしたりすることが多い気がする。(Tendaがそうしてるかは分からないけど、前に見たことがある。特にセキュリティカメラで)著者がこの脆弱性を確認する方法をファームウェアのバージョン以外にも提供してくれたら良かったのに。Tendaがパスワードを変えて「はい!これで安全です!」って言うだけかもしれないし。

アメリカにいるけど、TendaのWiFi USBスティックを使ってるよ。他のブランドほど人気はないけど、まあ存在はしてるね。

Tendaはアジアでめっちゃ人気だよ。いくつかのISPがデフォルトのルーターとして使ってる。

たぶん、他のブランドと同じように、OEMのリファレンスデザインに基づいたブランドだと思う。俺は小さいTendaの5ポートギガビットスイッチを持ってるけど、TP-Linkと同じスイッチチップを使ってる。ただブランドが違うだけで、"SG105"のモデル番号も同じだよ。 https://goughlui.com/2022/02/27/unbox-teardown-tp-link-tl-sg...

Tendaはもう何年も前からあるよね。リブランドするとは思えない。10年くらい前の電力線アダプターがどこかの棚にあるんだけど、当時は管理者パスワードが'admin'ってのが普通だった。デバイス自体に印刷されてることも多かったし。

記事では「sys.rzadmin.password」の値は明かされてないけど、2022年のこの書き込みでは公開されてるよ: https://boschko.ca/tenda_ac1200_router/ ネタバレ:それは「rzadmin」だよ。それに、ファームウェアには他にもいろんな面白いものがあるみたい。

配布前に忘れちゃった便利機能って感じだね、こんなに隠しきれてないし。

そのバックドア、めっちゃオープンだよね。フロントドアって呼んでもいいかも。

もうその時点でバックドアじゃなくて、ただのバカなデフォルトのルートパスワードみたいな設計だよね。昔はこういうハードウェアでは標準だったけど。バックドアなら、もうちょっと控えめにしようとするはず :)

ホテルのWiFiが変なものであった頃に、彼らの旅行用WiFi製品を使ったことがあるよ。今はeSIMやどこでもインターネットが使えるから、ホテルのWiFiが一番アクセスするのに不便かもしれないね。同じ価格帯で無料でもらったmikrotikユニットがあるんだけど(ほんとに無料:両方ともカンファレンスの景品)、物理的に小さくて、彼らのメインラインのコードが動いてるみたい。マイクロティックの品質について何を言おうと、ほぼすべての調整ができるからね。

今、ホテルのWiFiを作ってるところなんだけど、セキュリティを強化するためにかなり頑張ってるよ。みんなそれぞれのVLANに分けて、部屋ごとに別のPPSKを用意してる。認証情報はランダム生成で、名字と部屋番号のような馬鹿げたパターンじゃない。最強のキーを使ったカスタムアクセス制御システムを作ったんだ(mifare desfire ev3)。セキュリティがこんなにジョークみたいじゃないホテルを作りたいんだ。

アメリカやイスラエルがそんなことするわけないよ、UniFiやFortinet、Palo Altoを買うべきだ!

Hacker Newsで議論の続きを見る