隐藏了多年的认证后门?CVE-2026-11405深度分析:一个if判断让路由器直接变”管理员模式”

admin 2026-07-14 04:44:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: CVE-2026-11405是路由器固件中的认证后门漏洞,位于/bin/httpd的login()函数。正常认证失败后,程序从配置读取sys.rzadmin.password与用户输入明文比较,匹配即授予管理员权限,不校验用户名。影响多款设备,建议通过固件分析、配置检查和日志审计排查,并采取临时缓解措施。该漏洞属于隐藏功能问题,开发应避免保留后门路径。 综合评分: 86 文章分类: 漏洞分析,iot安全,web安全,二进制安全,安全开发


cover_image

隐藏了多年的认证后门?CVE-2026-11405 深度分析:一个 if 判断让路由器直接变”管理员模式”

原创

信息安全新动态 信息安全新动态

信息安全新动态

2026年7月13日 08:58 江西

在小说阅读器读本章

去阅读

一、漏洞概述

近日,CERT/CC 公布了编号 CVE-2026-11405 的认证后门漏洞。与常见的认证绕过漏洞不同,本次漏洞并非由于缓冲区溢出、SQL 注入或逻辑缺陷导致,而是在设备固件中直接存在一条隐藏的认证路径(Backdoor Authentication)。

漏洞位于设备 Web 管理程序 /bin/httpd 的 login() 函数内。当正常认证失败后,程序不会立即返回”用户名或密码错误”,而是继续执行一套隐藏认证流程:从设备配置中读取名为 sys.rzadmin.password 的配置项,并将其与用户输入的密码直接进行明文比较。一旦匹配成功,即使用户名完全错误,也会创建管理员 Session,并赋予最高管理权限(role=2)。

这意味着,该漏洞本质上不是”绕过认证”,而是开发者预留了一条后门认证逻辑

二、漏洞原理分析

根据逆向分析报告,该后门逻辑硬编码在 Web 服务器二进制文件 /bin/httpd 的 login() 验证函数(内存地址 004c88b8)中:

1. 正常的认证流程

在用户尝试登录时,系统首先走正常的加密认证路径,使用 MD5/哈希 校验机制进行密码比对(调用 prod_encode64 / PasswordToMd5 / check_rand_key 等函数)。

2. 触发隐藏的后门逻辑

精妙(且致命)的设计在于: 当用户输入的密码无法通过上述正常哈希校验(即验证失败)后,代码并没有直接返回错误,而是触发了第二段隐藏的逻辑 —— 系统会调用 GetValue(“sys.rzadmin.password”) 从设备配置中直接读取一个硬编码/预设的后门密码。

3. 明文硬比对,账号不设防

随后,程序使用 C 语言的 strcmp() 函数,将用户输入的密码与配置中的后门密码进行明文(Plaintext)直接比对:

❌ 不校验用户名: 漏洞代码根本没有校验用户名是否为 rzadmin,这意味着输入任何用户名均可触发!

🔑 成功匹配即通关:只要输入的密码与该隐藏值一致,系统将直接授予 role=2(Admin 级别最高权限),并创建有效的管理会话。

三、代码为什么危险

根据公开分析,正常认证流程大致如下:

if(check_password()==SUCCESS)

{

create_session();

}

但是开发人员又加入了一段隐藏逻辑:

backdoor = GetValue(“sys.rzadmin.password”);

if(strcmp(backdoor,password)==0)

{

role=2;

create_session();

}

问题就在这里,正常密码经过的是:

MD5(password)

而后门密码直接:

strcmp()

也就是说:

正常用户密码:123456→MD5→8位Hash

而后门:123456→直接比较字符串

没有任何 Hash。没有 Salt。没有加密。

完全就是:配置文件里的字符串==用户输入

因此,只要攻击者能够获取或推测sys.rzadmin.password的值,就可以绕过正常认证逻辑。

四、受影响的固件

目前已知受到该后门漏洞影响的设备固件版本包括(但不限于)以下国内常见型号:

● US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD

●US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE

● US_AC10V1.0re_V15.03.06.46_multi_TDE01

● US_AC5V1.0RTL_V15.03.06.48_multi_TDE01

● US_AC6V2.0RTL_V15.03.06.51_multi_T

(注:受影响设备多为中小企业或家用边界网关,由于其广泛暴露于互联网,风险极高。)

五、排查方式

相比扫描器”打一枪就走”,更有效的是结合固件分析和日志排查。

1.固件静态分析

如果能够获取设备固件,可重点检查:binwalk firmware.bin

提取根文件系统后,定位:/bin/httpd

使用反编译工具(如 Ghidra、IDA)搜索关键字符串:sys.rzadmin.password

若该字符串存在于 login() 调用链中,应进一步确认是否存在隐藏认证逻辑。

2.配置项检查

在配置文件中搜索:sys.rzadmin.password

如果存在该配置项,需确认其用途及是否可被认证流程调用。

3.日志审计

重点关注:

● 同一 IP 多次登录失败后突然登录成功;

● 登录成功但用户名异常(随机用户名、空用户名等);

● 管理员会话创建频繁;

● 管理页面来源异常。

六、缓解及防御建议

由于目前官方尚未发布正式的升级补丁,且网络上已出现针对该漏洞的扫描与自动化利用工具,建议相关企业和运维人员立即采取以下临时缓解措施:

七、总结

CVE-2026-11405 暴露的不只是一个实现缺陷,而是典型的隐藏功能(Hidden Functionality)问题,对应的弱点分类为 CWE-912:Hidden Functionality。

在安全开发过程中,应避免:

● 在生产版本中保留调试账户或”万能密码”;

● 将认证信息以明文形式存储并直接比较;

● 在正常认证流程之外增加未公开的备用认证路径;

● 将运维便利性置于安全性之上。

后门一旦进入正式发布版本,就可能在多年后被逆向分析发现,最终演变为影响大量设备的高危漏洞。

声明

转载声明:本平台部分公开资料源于互联网,转载是为传递信息和网络分享,不代表平台观点,也不保证真实性、不提供建议。除原创及特别说明外,推送内容来自网络和主流媒体,版权归原作者。若发现侵权,请联系我们,将尽快核实并删除。

网络安全,人人有责

信息安全新动态

微信号丨ThinventS2


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:信息安全新动态 信息安全新动态 信息安全新动态《隐藏了多年的认证后门?CVE-2026-11405 深度分析:一个 if 判断让路由器直接变”管理员模式”》

评论:0   参与:  0