🛡️ Executive Summary
- CVE-2026-11405 introduce una backdoor nel firmware Tenda tramite /bin/httpd e bypass del controllo password MD5.
- Il confronto strcmp() su sys.rzadmin.password concede role=2 e sessione admin valida senza verifica dello username.
- Nessuna patch disponibile: disabilitare gestione remota, cambiare IP LAN e monitorare firmware ufficiali.
Una backdoor di autenticazione nascosta nel firmware di diversi dispositivi Tenda consente di ottenere accesso amministrativo completo al pannello web senza credenziali valide. La vulnerabilità, tracciata come CVE-2026-11405, risiede nel binario /bin/httpd, responsabile del server web integrato nei router e nei dispositivi di rete interessati. Il meccanismo aggira il normale processo di autenticazione basato su hash MD5 e attiva un percorso alternativo non documentato: quando la password standard fallisce, il firmware recupera dalla configurazione interna il valore sys.rzadmin.password e lo confronta in chiaro con la password inviata dall’utente. Se il confronto ha esito positivo, il dispositivo assegna il ruolo amministrativo role=2 e crea una sessione valida. Il problema è aggravato dall’assenza di patch ufficiali al momento della disclosure e dall’impossibilità dichiarata di coordinare la correzione con il vendor, lasciando agli utenti solo mitigazioni temporanee.
Cosa leggere
CVE-2026-11405 aggira l’autenticazione del pannello Tenda
La vulnerabilità CVE-2026-11405 riguarda il flusso di autenticazione del server web integrato nei firmware Tenda. In condizioni normali, il dispositivo verifica la password dell’amministratore attraverso un confronto basato su MD5, meccanismo già debole dal punto di vista crittografico ma comunque parte del percorso di login previsto. La backdoor interviene quando questa verifica fallisce. Invece di interrompere l’autenticazione e negare l’accesso, il codice richiama GetValue(“sys.rzadmin.password”) per leggere un valore alternativo dalla configurazione interna del dispositivo. Questo valore non viene trattato come hash, non passa da un confronto robusto e non risulta esposto in alcuna sezione dell’interfaccia amministrativa. Il firmware esegue un semplice confronto con strcmp() tra la password inserita dall’utente e il valore recuperato. Se le stringhe coincidono, il server assegna privilegi amministrativi completi. La logica introduce quindi un secondo segreto di accesso, non documentato e invisibile all’utente, capace di bypassare il normale account configurato dall’amministratore.
Username ignorato e privilegi role=2 rendono la backdoor critica
L’aspetto più grave del meccanismo è che il campo username non viene validato. Qualsiasi stringa può essere usata come nome utente, purché la password inserita corrisponda al valore della backdoor memorizzato in sys.rzadmin.password. Dopo il match, il firmware concede il ruolo role=2, indicato come livello amministrativo completo, e genera una sessione valida per il pannello di gestione. Questo comportamento trasforma la backdoor in un accesso parallelo al dispositivo, indipendente dall’account admin configurato dall’utente e dalle normali pratiche di gestione delle password. Anche l’adozione di una password amministrativa forte non risolve il problema, perché il percorso vulnerabile non dipende dalla password legittima. Il rischio diventa particolarmente elevato se l’interfaccia web è raggiungibile dalla WAN, da reti non fidate o da segmenti interni dove un attaccante ha già ottenuto un punto d’appoggio. In questi scenari, il dispositivo può essere compromesso senza brute force, senza exploit complessi e senza conoscere il nome utente reale.
I firmware vulnerabili coinvolgono router e dispositivi wireless Tenda
La backdoor è stata identificata in più versioni firmware distribuite per dispositivi Tenda destinati a uso domestico, small office e piccole infrastrutture aziendali. Tra le release interessate figura US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD per il modello FH1201. Risulta vulnerabile anche US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE per W15E. Nella serie AC compaiono US_AC10V1.0re_V15.03.06.46_multi_TDE01 per AC10, US_AC5V1.0RTL_V15.03.06.48_multi_TDE01 per AC5 e US_AC6V2.0RTL_V15.03.06.51_multi_T per AC6. Gli utenti devono verificare con precisione la stringa firmware installata, perché la presenza della backdoor è legata a specifiche build e non può essere esclusa soltanto osservando il nome commerciale del dispositivo. La diffusione su più modelli suggerisce che il codice vulnerabile sia stato condiviso tra rami firmware diversi, probabilmente come componente comune del server web httpd o come logica di autenticazione riutilizzata nella piattaforma.
Il controllo admin espone DNS, firewall e traffico della rete
Lo sfruttamento riuscito concede controllo completo del dispositivo, con impatto diretto sulla sicurezza della rete locale. Un attaccante può modificare parametri DNS, cambiare regole del firewall, abilitare accesso remoto, alterare impostazioni wireless, disattivare protezioni e riconfigurare routing o port forwarding. In un router domestico, questo può portare a intercettazione del traffico, reindirizzamento verso siti malevoli, compromissione di credenziali e inserimento dell’utente in campagne di phishing o malware. In un piccolo ambiente aziendale, l’impatto può essere più esteso: il dispositivo Tenda può funzionare da gateway, access point o elemento di collegamento tra segmenti interni, offrendo all’attaccante un punto privilegiato per osservare flussi, scoprire host, manipolare risoluzioni DNS e facilitare movimenti laterali. La persistenza è un ulteriore problema, perché modifiche di configurazione malevole possono sopravvivere ai riavvii e rimanere inosservate se l’amministratore non effettua controlli periodici. La backdoor trasforma quindi un apparato di rete economico in un vettore di compromissione dell’intera infrastruttura collegata.
Nessuna patch disponibile e vendor non coordinato
La disclosure indica che, al momento della pubblicazione della vulnerability note del 6 luglio 2026, non esiste una patch ufficiale e non è stato possibile contattare Tenda per un coordinamento della correzione. Questo scenario aumenta il rischio perché gli utenti non possono semplicemente aggiornare il firmware per eliminare il codice vulnerabile. La situazione è tipica dei dispositivi consumer e small-business con cicli di supporto poco trasparenti, firmware difficili da mantenere e comunicazioni vendor non sempre tempestive. La presenza di una backdoor non documentata è inoltre più grave di una classica vulnerabilità accidentale, perché introduce un comportamento intenzionale o un residuo di sviluppo lasciato nel codice di produzione. In entrambi i casi, l’utente finale non ha visibilità sul segreto alternativo né strumenti ufficiali per rimuoverlo. Le organizzazioni che usano questi dispositivi devono quindi valutare non solo una mitigazione temporanea, ma anche la sostituzione degli apparati in contesti dove il rischio di accesso amministrativo non autorizzato non è accettabile.
Le mitigazioni riducono esposizione ma non rimuovono il rischio
In assenza di aggiornamenti, le contromisure sono principalmente difensive e mirano a ridurre la raggiungibilità del pannello web. La prima azione è disabilitare la gestione remota, se l’opzione è disponibile, per impedire accessi amministrativi dalla rete Internet. Questa misura è essenziale perché una backdoor sfruttabile da remoto su un’interfaccia esposta può essere rapidamente integrata in scanner automatici e botnet. La seconda misura consiste nel modificare l’indirizzo IP LAN predefinito del dispositivo, riducendo la probabilità di discovery opportunistica da parte di strumenti che cercano gateway su intervalli comuni. Questo non costituisce una protezione forte contro un attaccante già presente nella rete, ma può limitare parte del rischio generico. Gli utenti devono inoltre monitorare regolarmente il sito del produttore per eventuali firmware corretti e applicarli appena disponibili. Password amministrative robuste restano consigliate, ma non mitigano direttamente CVE-2026-11405 perché il percorso vulnerabile aggira il controllo della password configurata dall’utente.
Router consumer e small-business restano bersagli ad alto valore
Il caso Tenda conferma un problema ricorrente nella sicurezza dei dispositivi di rete: router e access point economici sono spesso trattati come componenti passivi, ma operano in realtà come punti di controllo critici del traffico. Una vulnerabilità nel pannello amministrativo può avere effetti più ampi di un bug su un singolo endpoint, perché il dispositivo gestisce connettività, DNS, NAT, firewall e accesso wireless. Le backdoor firmware sono particolarmente pericolose perché possono restare invisibili per anni, non comparire nella documentazione e non essere rilevabili con controlli amministrativi ordinari. Per utenti domestici, piccole imprese e reparti IT con budget limitati, la raccomandazione è verificare immediatamente modello e firmware, disabilitare ogni esposizione remota del pannello, controllare configurazioni DNS e port forwarding, monitorare modifiche inattese e valutare la sostituzione dei dispositivi vulnerabili quando non arrivano patch. CVE-2026-11405 mostra che la sicurezza del perimetro domestico e small-business dipende anche dalla qualità del firmware, non solo dalle password impostate dall’utente.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









