Il problema permette di entrare come amministratore anche senza credenziali valide. La falla, registrata come CVE-2026-11405, è emersa dall’analisi del firmware di cinque modelli del produttore cinese.
Al momento non c’è una patch ufficiale. Nel mirino c’è il sistema di accesso all’interfaccia web di gestione, cioè il pannello da cui si controlla la rete di casa o dell’ufficio. Secondo il CERT/CC, Tenda non ha ancora dato una risposta pubblica né indicato quando arriverà un aggiornamento.
CVE-2026-11405, la falla che apre l’accesso da amministratore
La vulnerabilità CVE-2026-11405 è stata definita dal CERT/CC, struttura legata al Software Engineering Institute della Carnegie Mellon University, una backdoor di autenticazione presente nel firmware di alcuni router Tenda. In sostanza, il normale controllo della password dell’amministratore può essere aggirato passando da un canale alternativo, non indicato nell’interfaccia del dispositivo.
Il punto debole si trova nel server web interno dei router, nel file /bin/httpd. Il login, in prima battuta, controlla la password dell’amministratore con una verifica basata su MD5. Se il controllo non va a buon fine, però, il firmware passa a una seconda verifica: confronta la password inserita con un valore salvato nella chiave di configurazione sys.rzadmin.password. A quel punto può essere aperta una sessione con pieni privilegi, senza che l’utente ne sappia nulla.
C’è poi un dettaglio ancora più pesante. Secondo l’advisory, il nome utente non viene verificato. In pratica, se si conosce la password nascosta, il sistema concede l’accesso da amministratore qualunque sia lo username digitato. Il CERT/CC non ha pubblicato quella password, per evitare di facilitare possibili abusi. Ma la sola presenza di un accesso parallelo basta a mettere in discussione la sicurezza dei dispositivi coinvolti.
Cinque modelli Tenda sotto esame: il nodo del firmware analizzato dal CERT/CC
L’avviso del CERT Coordination Center indica cinque modelli Tenda: FH1201, W15E, AC10, AC5 e AC6. La lista, viene precisato, riguarda le versioni firmware effettivamente analizzate dai ricercatori. Non è quindi detto che sia completa, anche perché Tenda non ha chiarito se altri dispositivi o altre versioni siano esposti allo stesso problema.
La scoperta viene attribuita a un ricercatore rimasto anonimo. Non è una circostanza insolita nella sicurezza informatica, soprattutto quando si parla di componenti di rete usati in abitazioni, piccoli uffici e attività commerciali. L’assenza di una conferma tecnica da parte di Tenda lascia però diversi interrogativi. Non è chiaro, per esempio, se la backdoor sia nata per sviluppo, assistenza o test interni, né se sia rimasta nel firmware per errore.
Nel documento non viene indicata alcuna correzione disponibile. Ed è questo il punto più concreto per gli utenti. Senza un aggiornamento firmware firmato dal produttore, la vulnerabilità resta sui dispositivi interessati. Il rischio cresce se l’interfaccia di amministrazione è raggiungibile da Internet.
Router compromesso, cosa può fare davvero un attaccante
Chi riesce a usare la falla può ottenere il controllo completo del router. Non si tratta di un accesso secondario: il router è il dispositivo che collega alla rete computer, smartphone, telecamere, smart TV e altri apparati. Da lì si possono cambiare i DNS, modificare le credenziali di amministrazione, disattivare impostazioni di sicurezza o attivare funzioni di gestione remota.
La modifica dei server DNS, per esempio, può servire a deviare il traffico verso pagine malevole, anche quando l’utente crede di aprire un sito legittimo. È uno schema già visto in altri attacchi contro router domestici: si digita l’indirizzo della banca o della posta elettronica, ma la richiesta finisce altrove. A quel punto il problema non riguarda più solo il router.
Un dispositivo di rete compromesso può diventare anche una base per altre attività: scansione della rete locale, raccolta di informazioni sui dispositivi collegati, tentativi di accesso ad altri servizi interni. Secondo le prime indicazioni del CERT/CC, la vulnerabilità colpisce l’autenticazione dell’interfaccia web. Gli effetti, però, possono allargarsi a tutta la rete connessa.
In attesa di una patch Tenda, il CERT/CC consiglia di disattivare la gestione web da remoto, così da impedire l’accesso al pannello amministrativo direttamente da Internet. È la prima misura da prendere per chi usa uno dei modelli indicati, soprattutto nelle reti in cui il router è stato configurato anni fa e poi lasciato con le impostazioni iniziali.
Gli esperti suggeriscono anche di ridurre l’esposizione nella rete locale, cambiando l’indirizzo IP LAN predefinito del dispositivo. Non è una protezione risolutiva, e il CERT/CC lo precisa: può rendere più difficile il riconoscimento automatico da parte di scanner generici, ma non blocca un attacco mirato di chi conosce rete e modello in uso.
Resta la raccomandazione più prudente: controllare il modello del proprio router, verificare la versione del firmware Tenda installato e seguire eventuali comunicazioni del produttore. Se il dispositivo è usato in ambienti sensibili o gestisce reti di lavoro, la sostituzione temporanea con un apparato aggiornato può essere una scelta concreta. Meglio muoversi prima, insomma, che accorgersi del problema dai log di una rete già violata.