(https://i.imgur.com/NP80DNV.jpeg)
Una nueva vulnerabilidad crítica de seguridad ha puesto en alerta a usuarios y administradores de redes que utilizan equipos del fabricante chino Tenda. Investigadores del CERT Coordination Center (CERT/CC) han revelado la existencia de una puerta trasera de autenticación no documentada presente en múltiples versiones del firmware de varios routers de la compañía, una falla que permite a un atacante obtener privilegios de administrador sin necesidad de conocer las credenciales legítimas del dispositivo.
La vulnerabilidad, identificada como CVE-2026-11405, representa un riesgo significativo para redes domésticas y empresariales, ya que puede ser explotada para tomar el control total del router, modificar su configuración, desactivar funciones de seguridad o utilizar el dispositivo como punto de entrada para ataques más complejos.
Lo más preocupante es que, al momento de publicarse la alerta, Tenda aún no había distribuido un parche oficial, dejando a miles de dispositivos potencialmente expuestos.
¿Qué es la vulnerabilidad CVE-2026-11405?La falla CVE-2026-11405 corresponde a un mecanismo de autenticación oculto (backdoor) implementado dentro del servidor web integrado de varios routers Tenda.
Según el análisis técnico del CERT/CC, el problema reside en la función login() del binario /bin/httpd, responsable de gestionar el acceso a la interfaz web de administración del dispositivo.
En condiciones normales, el proceso de autenticación verifica las credenciales utilizando un mecanismo basado en hash MD5. Sin embargo, cuando esa validación falla, el firmware ejecuta una segunda ruta de código que activa un método alternativo de autenticación completamente oculto.
Esta ruta secundaria consulta un valor interno almacenado en la configuración del dispositivo mediante la función:
GetValue("sys.rzadmin.password")Posteriormente, compara directamente la contraseña introducida por el usuario con ese valor interno en texto plano.
Si ambas coinciden, el sistema concede inmediatamente privilegios de administrador, independientemente del nombre de usuario utilizado.
Un nombre de usuario que no necesita validaciónUno de los aspectos más graves de esta vulnerabilidad es que el nombre de usuario no se valida durante el proceso de autenticación.
El CERT/CC explicó que el firmware utiliza internamente la cuenta "rzadmin", pero dicha identidad nunca es comprobada realmente.
Como consecuencia, cualquier nombre de usuario introducido por el atacante será aceptado, siempre que vaya acompañado de la contraseña almacenada en la puerta trasera.
Una vez completado el proceso, el servidor crea una sesión válida con:
- Privilegios administrativos completos.
- Rol de administrador (rol=2).
- Acceso total a la interfaz web.
Todo ello sin necesidad de conocer las credenciales legítimas configuradas por el propietario del dispositivo.
Firmware de Tenda afectadosEl CERT/CC confirmó que la vulnerabilidad afecta a varias versiones específicas del firmware de Tenda.
Los dispositivos vulnerables incluyen:
- US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
- US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
- US_AC10V1.0re_V15.03.06.46_multi_TDE01
- US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
- US_AC6V2.0RTL_V15.03.06.51_multi_T
Dado que la funcionalidad de autenticación oculta forma parte del propio servidor web del firmware, el riesgo afecta directamente a la gestión administrativa del dispositivo.
¿Qué puede hacer un atacante?La explotación exitosa de CVE-2026-11405 proporciona acceso administrativo completo al router.
Una vez comprometido el dispositivo, un atacante puede realizar numerosas acciones maliciosas, entre ellas:
- Modificar la configuración del router.
- Cambiar servidores DNS para redirigir el tráfico.
- Desactivar el firewall integrado.
- Alterar reglas NAT y de reenvío de puertos.
- Habilitar servicios remotos inseguros.
- Crear nuevas cuentas administrativas.
- Capturar tráfico de red.
- Interceptar comunicaciones.
- Instalar configuraciones persistentes.
- Utilizar el router como punto de apoyo para ataques posteriores.
En escenarios corporativos, la toma de control del router puede convertirse en el primer paso para comprometer toda la infraestructura de la organización.
Una puerta trasera que nunca fue documentadaUno de los elementos que más preocupa a los investigadores es que este mecanismo de autenticación no aparece documentado en ninguna parte del firmware ni es visible desde la interfaz administrativa.
Desde la perspectiva del usuario, la función simplemente no existe.
Sin embargo, permanece integrada dentro del código responsable del inicio de sesión.
Esta situación genera incertidumbre sobre el origen de la funcionalidad, ya que actualmente no está claro si fue incorporada como mecanismo interno de mantenimiento, herramienta de soporte técnico o si corresponde a una práctica insegura de desarrollo.
Independientemente de su propósito inicial, su presencia supone un grave riesgo de seguridad.
¿Por qué una puerta trasera representa un riesgo tan elevado?Las puertas traseras constituyen uno de los tipos de vulnerabilidades más críticos dentro del ámbito de la ciberseguridad.
A diferencia de otros errores de programación, una backdoor introduce deliberadamente un mecanismo alternativo de acceso que puede eludir las medidas normales de autenticación.
Cuando este tipo de funcionalidad es descubierta por investigadores o actores maliciosos, el impacto suele ser muy elevado porque:
- Evita completamente los controles de acceso.
- No requiere ataques de fuerza bruta.
- Permite acceso inmediato al sistema.
- Resulta difícil de detectar para el usuario.
- Facilita ataques automatizados a gran escala.
En dispositivos de red, donde el router controla todas las comunicaciones de una organización o un hogar, las consecuencias pueden extenderse mucho más allá del propio equipo.
Sin parche oficial al momento de la divulgaciónEl investigador que descubrió la vulnerabilidad informó responsablemente del problema.
Sin embargo, cuando el CERT/CC publicó la alerta, Tenda aún no había distribuido una actualización de seguridad que solucionara el fallo.
Asimismo, diversos medios especializados indicaron haber contactado con el fabricante para solicitar comentarios sobre la vulnerabilidad, sin obtener respuesta inmediata.
Hasta que exista un firmware corregido, los dispositivos afectados continúan siendo potencialmente vulnerables.
Cómo proteger los routers Tenda mientras no exista una actualizaciónAunque actualmente no hay un parche oficial disponible, los expertos recomiendan aplicar varias medidas de mitigación para reducir la superficie de ataque.
Desactivar la administración remotaSi la gestión remota del router no es necesaria, debe permanecer completamente deshabilitada.
Esto impide que atacantes puedan acceder a la interfaz administrativa desde Internet.
Cambiar la dirección IP LAN predeterminadaMuchos ataques automatizados buscan dispositivos utilizando las direcciones IP predeterminadas más comunes.
Modificar la IP LAN dificulta el descubrimiento automático por parte de herramientas de escaneo masivo.
Restringir el acceso administrativoSiempre que sea posible, limite la administración únicamente a equipos internos de confianza.
Supervisar configuraciones sospechosasRevise periódicamente:
- Servidores DNS.
- Reglas NAT.
- Reenvíos de puertos.
- Usuarios administrativos.
- Configuración del firewall.
Cualquier cambio inesperado podría indicar una posible intrusión.
Mantenerse atento a nuevas actualizacionesLos usuarios deben monitorizar regularmente el sitio oficial de Tenda para instalar inmediatamente cualquier firmware que corrija CVE-2026-11405 una vez esté disponible.
La importancia de auditar el firmware de dispositivos de redEste incidente vuelve a poner sobre la mesa la necesidad de realizar auditorías independientes del firmware utilizado por dispositivos de infraestructura.
Los routers modernos ya no solo gestionan el acceso a Internet, sino que también actúan como punto central de comunicación para redes empresariales, hogares inteligentes, cámaras IP y dispositivos IoT.
La presencia de funciones ocultas o mecanismos de autenticación no documentados incrementa significativamente el riesgo de que un único fallo comprometa toda la red.
Por ello, las organizaciones deben incorporar la revisión periódica del firmware y la actualización constante de los equipos de red como parte de sus estrategias de ciberseguridad.
En fin...La vulnerabilidad CVE-2026-11405 pone de manifiesto los riesgos asociados a la existencia de mecanismos de autenticación ocultos en dispositivos de infraestructura crítica. La presencia de una puerta trasera no documentada en varios modelos de routers Tenda permite obtener privilegios administrativos completos sin utilizar las credenciales legítimas, abriendo la puerta a ataques capaces de comprometer redes enteras.
Mientras el fabricante publica una actualización oficial, la mejor defensa consiste en desactivar la administración remota, limitar el acceso a la interfaz web, modificar la configuración predeterminada del dispositivo y vigilar cualquier cambio no autorizado. Este caso demuestra, una vez más, que la seguridad del firmware es un elemento esencial para proteger la integridad de las comunicaciones y evitar que un router se convierta en el punto de entrada de un ciberataque.
Fuente: https://thehackernews.com/