智能路由器作为家庭与企业网络流量的“看门人”,其固件的安全级别直接决定了整个内网的防线是否稳固。然而,近年来网络设备制造商在出厂固件中遗留调试接口或硬编码后门的现象屡禁不止。2026年7月初,计算机应急响应小组(CERT/CC)发布了一则高危漏洞通告,指出知名网络设备厂商腾达网络(Tenda)的多款路由器固件中,存在一个未公开的严重身份验证绕过漏洞。
这一安全漏洞已被官方分配了 CVE-2026-11405 的跟踪编号。根据CERT/CC关于腾达路由器身份验证后门的漏洞公告显示,黑客可以利用该漏洞完美绕过设备前端的密码输入限制。在没有获取任何合法管理员账户和密码的前提下,攻击者仅凭已知的特定明文密码即可直接登入路由器的后台,进而窃取流量、劫持 DNS 甚至对内网设备实施进一步的横向渗透。
解析 httpd 服务后门逻辑:常规校验失败触发明文对比
与常见的缓冲区溢出或注入类漏洞不同,CVE-2026-11405 的成因在于固件设计中存在的蓄意绕过机制。安全研究人员在对腾达受影响型号路由器的二进制固件实施反汇编分析时,锁定了负责处理 Web 管理流量的核心守护进程 /bin/httpd。
在正常的登录逻辑中,当用户提交密码后,/bin/httpd 会对其进行 MD5 哈希计算并与系统中保存的管理员密码哈希进行比对。然而,固件开发人员在代码中加入了一条不寻常的“分流”分支:一旦常规的 MD5 验证判定失败,程序并不会立刻向客户端返回登录失败的响应,而是转而调用一个专门的后门验证函数。该函数会直接读取固件中硬编码的一个明文密码,并通过 C 语言的标准字符串比较函数 strcmp(),直接拿用户输入的字符串与该明文密码进行对比。由于这一逻辑完全不需要对用户名进行鉴权,黑客只要在登录框中输入该明文密码,即可令 strcmp() 函数返回成功,使系统强制赋予其 role=2(即最高系统管理员)的权限级别。
漏洞技术细节:后门如何工作
该后门位于Web服务器的二进制文件 /bin/httpd 的 login() 函数中。其工作流程如下:
- 正常流程:当用户尝试登录时,系统会进行标准的MD5密码验证。
- 触发后门:如果正常验证失败,代码会执行一个特殊逻辑:
- 获得权限:只要密码匹配,系统就会授予管理员权限(role=2) 并建立有效会话。
- 关键缺陷:系统不会验证用户名,意味着攻击者可以使用任何用户名配合后门密码登录。
官方暂无修复补丁,安全机构建议立即变更配置
由于该后门密码是硬编码在固件的编译代码中,这意味着只要设备处于开机连网状态,漏洞就将一直处于可利用状态。更糟糕的是,截至本周,腾达官方尚未向市场推送任何用于修补此后门漏洞的固件更新包。
针对这一空窗期风险,网络安全专家提醒广大腾达设备用户,务必立刻登录后台调整网络配置进行自我救赎。首要措施是检查并确保关闭路由器的“远程管理”功能,切断外网(WAN口)对 Web 管理端口 80 或 8080 的直接访问权限,从而将潜在攻击者限制在局域网内部。其次,用户应当将路由器默认的局域网网段(例如常见的 192.168.0.1)更改为非常规网段(如 10.117.89.1),以扰乱恶意扫描工具的自动化渗透脚本,降低因内网被攻破后路由器瞬间失陷的概率。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️