Una backdoor nascosta nei router Tenda continua a restare senza correzione, e il motivo è tanto semplice quanto preoccupante: l’azienda non ha ancora risposto agli avvisi ripetuti dei ricercatori di sicurezza. Il problema è stato reso pubblico dal CERT Coordination Center, gruppo di cybersicurezza sostenuto dal governo statunitense e ospitato al Software Engineering Institute della Carnegie Mellon University. La falla, individuata il 6 luglio, permette a un aggressore di ottenere il controllo amministrativo completo su diversi dispositivi di rete Tenda, senza bisogno di inserire alcuna password valida.
Come funziona la falla che scavalca la password
La vulnerabilità è catalogata come CVE-2026-11405 ed è a tutti gli effetti una backdoor di autenticazione non documentata nel firmware dei modelli coinvolti. In pratica scavalca la normale procedura di login e apre le porte dell’interfaccia di gestione web senza credenziali corrette. Il CERT/CC elenca cinque versioni di firmware interessate, distribuite tra le famiglie di router FH1201, W15E, AC10, AC5 e AC6. L’avviso, che attribuisce la scoperta a un ricercatore anonimo, non presenta però questa lista come definitiva: copre solo le build specifiche segnalate, dato che non esiste una conferma ufficiale del produttore sull’effettiva portata del problema.
Come quasi tutti i router di consumo, i dispositivi Tenda offrono un’interfaccia web protetta da password per configurare Wi-Fi, regole del firewall, server DNS, aggiornamenti del firmware, port forwarding, controllo genitori e altre funzioni chiave. Sono proprio questi pannelli a gestire quasi tutto il funzionamento del router, e per questo dovrebbero essere blindati da meccanismi di autenticazione solidi. Qui invece qualcosa non torna. Secondo l’analisi tecnica, il firmware inizialmente verifica la password dell’amministratore con un controllo standard basato su MD5. Se quella verifica fallisce, però, il codice segue in silenzio un secondo percorso non documentato. Anziché rifiutare subito il tentativo di accesso, recupera un’altra password conservata internamente sotto la chiave di configurazione sys.rzadmin.password e la confronta direttamente con quella digitata dall’utente tramite la funzione strcmp().
Se la password inserita corrisponde a questo valore nascosto, il firmware crea all’istante una sessione da amministratore con pieni privilegi. Il dettaglio più inquietante è un altro: il nome utente non viene mai verificato. Va bene qualsiasi username, purché venga fornita la password segreta. Il risultato è che l’account amministratore configurato dall’utente viene di fatto aggirato del tutto.
Cosa rischiano gli utenti e cosa fare adesso
Il CERT/CC non ha rivelato la password nascosta, ma l’esistenza stessa di questo secondo canale di accesso indebolisce parecchio il modello di sicurezza dei dispositivi. Non si tratta di un semplice errore di programmazione, come capita spesso con le vulnerabilità di autenticazione. Qui parliamo di un percorso di login separato, che concede accesso amministrativo tramite credenziali né documentate né visibili dal pannello di gestione. Se sia stato inserito di proposito o dimenticato lì come residuo di sviluppo resta poco chiaro. Il CERT/CC non si sbilancia sulle intenzioni, e il silenzio di Tenda non aiuta a chiarire la faccenda.
Chi riesce a sfruttare la falla ottiene un controllo praticamente illimitato sulla configurazione del router. Può modificare le impostazioni di rete, cambiare i server DNS per dirottare il traffico internet, disattivare le protezioni, sostituire le credenziali dell’amministratore o attivare ulteriori funzioni di accesso remoto. Dato che il router fa da ponte tra i dispositivi locali e internet, comprometterne uno significa esporre ad altri attacchi ogni sistema collegato alla rete.
In attesa di aggiornamenti ufficiali del firmware, il CERT/CC consiglia di disabilitare la gestione web remota dove possibile, così da impedire agli aggressori di raggiungere l’interfaccia amministrativa da internet. Suggerisce anche di limitare l’esposizione sulla rete locale, precisando però che cambiare l’indirizzo IP LAN predefinito riduce sì le scansioni automatiche opportunistiche, ma non ferma un aggressore determinato che effettua ricognizioni mirate.
Il caso richiama le preoccupazioni sollevate dalla Federal Communications Commission, che a marzo ha inserito alcuni prodotti di rete di fabbricazione estera nella sua Covered List, bloccando l’autorizzazione necessaria all’importazione e alla vendita negli Stati Uniti. La FCC ha sostenuto che i router di consumo compromessi possono offrire agli attaccanti un punto d’appoggio dentro le reti domestiche e delle piccole imprese. Una backdoor amministrativa non documentata in apparecchiature così diffuse, unita all’assenza di una patch o di una risposta del produttore, è esattamente il tipo di rischio lungo la catena di fornitura che le autorità stanno cercando di arginare.