文章总结: CVE-2026-11405是路由器固件中的认证后门漏洞,位于/bin/httpd的login()函数。正常认证失败后,程序从配置读取sys.rzadmin.password与用户输入明文比较,匹配即授予管理员权限,不校验用户名。影响多款设备,建议通过固件分析、配置检查和日志审计排查,并采取临时缓解措施。该漏洞属于隐藏功能问题,开发应避免保留后门路径。 综合评分: 86 文章分类: 漏洞分析,iot安全,web安全,二进制安全,安全开发
隐藏了多年的认证后门?CVE-2026-11405 深度分析:一个 if 判断让路由器直接变”管理员模式”
原创
信息安全新动态 信息安全新动态
信息安全新动态
2026年7月13日 08:58 江西
在小说阅读器读本章
去阅读
一、漏洞概述
近日,CERT/CC 公布了编号 CVE-2026-11405 的认证后门漏洞。与常见的认证绕过漏洞不同,本次漏洞并非由于缓冲区溢出、SQL 注入或逻辑缺陷导致,而是在设备固件中直接存在一条隐藏的认证路径(Backdoor Authentication)。
漏洞位于设备 Web 管理程序 /bin/httpd 的 login() 函数内。当正常认证失败后,程序不会立即返回”用户名或密码错误”,而是继续执行一套隐藏认证流程:从设备配置中读取名为 sys.rzadmin.password 的配置项,并将其与用户输入的密码直接进行明文比较。一旦匹配成功,即使用户名完全错误,也会创建管理员 Session,并赋予最高管理权限(role=2)。
这意味着,该漏洞本质上不是”绕过认证”,而是开发者预留了一条后门认证逻辑。
二、漏洞原理分析
根据逆向分析报告,该后门逻辑硬编码在 Web 服务器二进制文件 /bin/httpd 的 login() 验证函数(内存地址 004c88b8)中:
1. 正常的认证流程
在用户尝试登录时,系统首先走正常的加密认证路径,使用 MD5/哈希 校验机制进行密码比对(调用 prod_encode64 / PasswordToMd5 / check_rand_key 等函数)。
2. 触发隐藏的后门逻辑
精妙(且致命)的设计在于: 当用户输入的密码无法通过上述正常哈希校验(即验证失败)后,代码并没有直接返回错误,而是触发了第二段隐藏的逻辑 —— 系统会调用 GetValue(“sys.rzadmin.password”) 从设备配置中直接读取一个硬编码/预设的后门密码。
3. 明文硬比对,账号不设防
随后,程序使用 C 语言的 strcmp() 函数,将用户输入的密码与配置中的后门密码进行明文(Plaintext)直接比对:
❌ 不校验用户名: 漏洞代码根本没有校验用户名是否为 rzadmin,这意味着输入任何用户名均可触发!
🔑 成功匹配即通关:只要输入的密码与该隐藏值一致,系统将直接授予 role=2(Admin 级别最高权限),并创建有效的管理会话。
三、代码为什么危险
根据公开分析,正常认证流程大致如下:
if(check_password()==SUCCESS)
{
create_session();
}
但是开发人员又加入了一段隐藏逻辑:
backdoor = GetValue(“sys.rzadmin.password”);
if(strcmp(backdoor,password)==0)
{
role=2;
create_session();
}
问题就在这里,正常密码经过的是:
MD5(password)
而后门密码直接:
strcmp()
也就是说:
正常用户密码:123456→MD5→8位Hash
而后门:123456→直接比较字符串
没有任何 Hash。没有 Salt。没有加密。
完全就是:配置文件里的字符串==用户输入
因此,只要攻击者能够获取或推测sys.rzadmin.password的值,就可以绕过正常认证逻辑。
四、受影响的固件
目前已知受到该后门漏洞影响的设备固件版本包括(但不限于)以下国内常见型号:
● US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
●US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
● US_AC10V1.0re_V15.03.06.46_multi_TDE01
● US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
● US_AC6V2.0RTL_V15.03.06.51_multi_T
(注:受影响设备多为中小企业或家用边界网关,由于其广泛暴露于互联网,风险极高。)
五、排查方式
相比扫描器”打一枪就走”,更有效的是结合固件分析和日志排查。
1.固件静态分析
如果能够获取设备固件,可重点检查:binwalk firmware.bin
提取根文件系统后,定位:/bin/httpd
使用反编译工具(如 Ghidra、IDA)搜索关键字符串:sys.rzadmin.password
若该字符串存在于 login() 调用链中,应进一步确认是否存在隐藏认证逻辑。
2.配置项检查
在配置文件中搜索:sys.rzadmin.password
如果存在该配置项,需确认其用途及是否可被认证流程调用。
3.日志审计
重点关注:
● 同一 IP 多次登录失败后突然登录成功;
● 登录成功但用户名异常(随机用户名、空用户名等);
● 管理员会话创建频繁;
● 管理页面来源异常。
六、缓解及防御建议
由于目前官方尚未发布正式的升级补丁,且网络上已出现针对该漏洞的扫描与自动化利用工具,建议相关企业和运维人员立即采取以下临时缓解措施:
七、总结
CVE-2026-11405 暴露的不只是一个实现缺陷,而是典型的隐藏功能(Hidden Functionality)问题,对应的弱点分类为 CWE-912:Hidden Functionality。
在安全开发过程中,应避免:
● 在生产版本中保留调试账户或”万能密码”;
● 将认证信息以明文形式存储并直接比较;
● 在正常认证流程之外增加未公开的备用认证路径;
● 将运维便利性置于安全性之上。
后门一旦进入正式发布版本,就可能在多年后被逆向分析发现,最终演变为影响大量设备的高危漏洞。
声明
转载声明:本平台部分公开资料源于互联网,转载是为传递信息和网络分享,不代表平台观点,也不保证真实性、不提供建议。除原创及特别说明外,推送内容来自网络和主流媒体,版权归原作者。若发现侵权,请联系我们,将尽快核实并删除。
网络安全,人人有责
信息安全新动态
微信号丨ThinventS2
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:信息安全新动态 信息安全新动态 信息安全新动态《隐藏了多年的认证后门?CVE-2026-11405 深度分析:一个 if 判断让路由器直接变”管理员模式”》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论