AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Backdoor en firmware de Tenda permite acceso administrativo no autorizado vía interfaz web

Introducción

El 24 de junio de 2024, el CERT Coordination Center (CERT/CC) emitió una alerta sobre una vulnerabilidad crítica en el firmware de varios dispositivos de red fabricados por la empresa china Tenda. El fallo, catalogado como CVE-2026-11405, consiste en la existencia de una puerta trasera de autenticación no documentada que facilita el acceso administrativo a la consola de gestión web de estos equipos, permitiendo a un atacante eludir el proceso estándar de verificación de credenciales. Este incidente ha despertado preocupación entre profesionales de la ciberseguridad, dada la popularidad de Tenda en entornos empresariales, proveedores de servicios y usuarios domésticos avanzados.

Contexto del Incidente

Tenda es un proveedor ampliamente utilizado de routers, puntos de acceso y dispositivos de red orientados tanto al mercado SOHO como a pequeñas y medianas empresas. A lo largo de los últimos años, la compañía ha sido señalada en diversas ocasiones por la presencia de vulnerabilidades críticas en sus productos, algunas de las cuales han sido aprovechadas por actores maliciosos para la propagación de botnets y el desarrollo de campañas de ataques a gran escala.

El descubrimiento de esta puerta trasera ha sido resultado de un análisis realizado por investigadores independientes, quienes detectaron un mecanismo oculto en el código del firmware que permite eludir el proceso de autenticación estándar en el portal web de administración. La vulnerabilidad afecta a múltiples versiones del firmware publicadas entre 2022 y 2024, y, al cierre de esta edición, Tenda no ha publicado un parche oficial para todas las versiones afectadas.

Detalles Técnicos

La vulnerabilidad ha sido registrada bajo el identificador CVE-2026-11405 y afecta a los siguientes modelos y versiones de firmware:

– Tenda AC10U v15.03.06.51 a v15.03.06.53
– Tenda AC11 v15.03.06.47 a v15.03.06.51
– Otros modelos pendientes de confirmación

El exploit reside en la presencia de un endpoint oculto en la interfaz web de administración, el cual acepta parámetros específicos que, al ser invocados, otorgan permisos administrativos sin necesidad de conocer las credenciales legítimas. El acceso puede realizarse simplemente mediante una petición HTTP especialmente diseñada (por ejemplo, una petición POST con valores concretos en el cuerpo de la solicitud).

Tácticas, Técnicas y Procedimientos (TTP) alineados con MITRE ATT&CK:

– Initial Access: Exploit Public-Facing Application (T1190)
– Privilege Escalation: Exploitation for Privilege Escalation (T1068)
– Defense Evasion: Valid Accounts (T1078) y Exploitation of Authentication Mechanisms (T1556)

Indicadores de Compromiso (IoC):

– Accesos HTTP/S inusuales al portal de administración sin registros previos de autenticación
– Cambios no autorizados en la configuración del dispositivo
– Tráfico de red hacia direcciones IP asociadas históricamente con botnets

Impacto y Riesgos

El impacto potencial es considerable. Un atacante remoto, incluso desde Internet (si la interfaz de administración está expuesta), puede tomar el control total del dispositivo, modificar su configuración, instalar firmware malicioso o incorporarlo a una botnet IoT. Esto podría facilitar ataques de denegación de servicio (DDoS), interceptación de tráfico (Man-in-the-Middle), filtración de credenciales y movimientos laterales en la red interna.

Según estimaciones de Shodan, más de 150.000 dispositivos Tenda con los firmwares afectados están expuestos actualmente a Internet. Además, la explotación de puertas traseras en dispositivos de red supone una infracción directa del Reglamento General de Protección de Datos (GDPR), la directiva NIS2 y la Ley de Servicios Digitales de la UE, pudiendo acarrear sanciones económicas significativas a las organizaciones responsables.

Medidas de Mitigación y Recomendaciones

Mientras Tenda no publique un firmware corregido, se recomienda:

– Bloquear el acceso remoto a la interfaz web de administración desde WAN.
– Restringir el acceso a la administración solo a direcciones IP confiables y redes internas.
– Monitorizar logs de acceso y alertar sobre actividades anómalas.
– Aplicar segmentación de red para aislar los dispositivos vulnerables.
– Considerar la sustitución temporal de los dispositivos afectados por modelos de fabricantes con soporte activo y comprobado.
– Seguir de cerca las actualizaciones de seguridad proporcionadas por Tenda y CERT/CC.

Opinión de Expertos

Especialistas en ciberseguridad como José Antonio Castillo (CISO, SecureNet) destacan que “la existencia de backdoors no documentados, especialmente en dispositivos de red críticos, representa una amenaza sistémica para la seguridad de las infraestructuras empresariales, ya que comprometen la confianza en la cadena de suministro y dificultan la gestión de riesgos operacionales”. Además, la ausencia de respuesta inmediata por parte del fabricante incrementa la exposición y el potencial de explotación masiva.

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente pone en evidencia la necesidad de realizar auditorías regulares de sus dispositivos de red, así como de mantener políticas estrictas de gestión de vulnerabilidades. La presencia de una puerta trasera puede traducirse en una brecha de datos, interrupciones operativas y sanciones regulatorias. Para los usuarios domésticos avanzados, el riesgo radica en la posible incorporación del router a redes botnet, con el consiguiente consumo de ancho de banda y exposición de información privada.

Conclusiones

La detección de la puerta trasera en los dispositivos Tenda subraya la importancia de la transparencia en el desarrollo de firmware y la necesidad de mecanismos de verificación independientes. A la espera de un parche oficial, la recomendación es limitar al máximo la exposición de estos dispositivos y reforzar las medidas de monitorización y control de accesos.

(Fuente: feeds.feedburner.com)