CERT/CC, 6 Temmuz’da yayımladığı duyuruda bazı Tenda ağ cihazlarını etkileyen ciddi bir firmware açığını kamuoyuna açıkladı. CVE-2026-11405 olarak izlenen sorun, normal oturum açma sürecini atlayabilen belgelenmemiş bir kimlik doğrulama arka kapısı olarak tanımlanıyor. Açığın kullanılması halinde saldırganlar cihazların web tabanlı yönetim arayüzüne geçerli yönetici bilgileri olmadan erişebiliyor ve tam idari yetki elde edebiliyor.
Etkilenen ürünler arasında FH1201, W15E, AC10, AC5 ve AC6 router ailelerine ait beş firmware sürümü yer alıyor. Ancak açıklanan listenin kapsamlı olmadığı özellikle belirtiliyor. Mevcut liste yalnızca araştırmacının bildirdiği belirli sürümleri kapsıyor; üretici tarafından doğrulanmış tam etki alanı henüz paylaşılmış değil. Daha da önemlisi, şu an için yayınlanmış bir güvenlik yaması bulunmuyor.
Sorun, router’ların dahili web sunucusunda yer alan oturum açma mantığında ortaya çıkıyor. Normal akışta firmware, yönetici parolasını MD5 tabanlı standart bir kontrolle doğruluyor. Fakat bu doğrulama başarısız olduğunda süreç doğrudan reddedilmek yerine ikinci ve belgelenmemiş bir kod yoluna geçiyor. Bu aşamada firmware, sistem içinde sys.rzadmin.password yapılandırma anahtarı altında saklanan başka bir parolayı alıyor ve kullanıcının girdiği değerle strcmp() üzerinden karşılaştırıyor.
Girilen parola bu gizli değerle eşleşirse cihaz doğrudan geçerli bir yönetici oturumu oluşturuyor. Buradaki kritik nokta, kullanıcı adının hiç doğrulanmaması. Yani gizli parola bilindiği sürece herhangi bir kullanıcı adıyla yönetici erişimi alınabiliyor. Bu da yapılandırılmış yönetici hesabını fiilen devre dışı bırakan ayrı bir giriş mekanizmasına işaret ediyor.

Gizli parolanın kendisi açıklanmış değil, ancak ikinci bir kimlik doğrulama yolunun varlığı bile güvenlik modelini ciddi biçimde zayıflatıyor. Bu durum klasik bir uygulama hatasından farklı; mevcut giriş sistemindeki küçük bir açık değil, onun yanında çalışan ayrı bir yönetici erişim yolu söz konusu. Bunun bilinçli olarak mı eklendiği yoksa geliştirme sürecinden kalan unutulmuş bir özellik mi olduğu ise net değil.
Başarılı bir saldırı, router yapılandırmasının tamamı üzerinde kontrol sağlayabiliyor. Saldırganlar DNS ayarlarını değiştirerek trafiği yönlendirebilir, güvenlik korumalarını kapatabilir, yönetici parolasını yenileyebilir veya ek uzaktan erişim özelliklerini açabilir. Router internet ile yerel ağ arasındaki geçit olduğu için tek bir cihazın ele geçirilmesi, ağa bağlı diğer sistemleri de sonraki saldırılara açık hale getirebilir.
Resmi güncelleme gelene kadar önerilen ilk adım, mümkünse uzaktan web yönetimini kapatmak. Böylece yönetim arayüzünün internet üzerinden erişilebilir olması engellenebilir. CERT/CC ayrıca yerel ağ görünürlüğünün azaltılmasını da tavsiye ediyor. LAN IP adresini varsayılan değerden değiştirmek otomatik taramalara karşı sınırlı fayda sağlayabilir, ancak hedefli keşif yapan saldırganlara karşı yeterli bir koruma olarak görülmüyor.

