Multiple Flaws in Tenda RX2 Pro Let Attackers Gain Admin Access
2025/05/05 gbhackers — Tenda RX2 Pro Dual-Band Gigabit Wi-Fi 6 Router (ファームウェア V16.03.30.14) に、一連の深刻な脆弱性が存在することを、セキュリティ研究者が発見した。これらの脆弱性の悪用に成功したリモート攻撃者は、デバイスの管理者権限を取得し、多くのケースにおいて、完全なルート権限を取得するとされる。すでに研究者たちが通知を行っているが、Tenda は対応しておらず、パッチも提供されていない。Tenda の Web 管理ポータル/ファームウェア/内部サービスで発見された、11 件の脆弱性には個別の CVE が割り当てられている。
これらのバグを組み合わせて悪用する攻撃者は、権限を昇格し、ネットワーク・セグメンテーションを回避し、最終的にはルート権限での任意のコード実行の可能性を手にする。
これらの脆弱性に対する悪用は、デバイスに接続する、すべての人から可能である。たとえ隔離されているはずの、ゲスト Wi-Fi ネットワークであっても、そこからの悪用の可能性があるため、特に深刻である。
攻撃の仕組み
Tenda RX2 Pro の Web 管理インターフェイスには、認証情報/セッション・キー送信/暗号化方法に関連する多数の脆弱性が存在する。
さらに、ネットワーク・セグメンテーションが適切に行われていないケースでは、ゲストWi-Fiネットワーク上の攻撃者が、ルーターのメイン機能や他のクライアントを標的にする可能性を手にする。
最も懸念されるのは、攻撃者が “telnet” や “ate” と呼ばれる未公開のサービスなどの、バックドア・サービスを有効化できる状況である。これらのサービスには、コマンド・インジェクションの脆弱性や静的認証情報などの、深刻な欠陥が存在する。
主要な脆弱性の概要
| CVE | Summary | Impact |
| CVE-2025-46634 | Transmission of plaintext credentials in httpd | Allows credential theft and replay from observed traffic |
| CVE-2025-46632 | Static IV use in web encryption | Makes encrypted sessions easier to decrypt |
| CVE-2025-46633 | Transmission of AES encryption key in plaintext | Enables interception & decryption of management traffic |
| CVE-2025-46635 | Improper network isolation between guest/primary networks | Guest users can attack the router and main network |
| CVE-2025-46631 | Unauthenticated enabling of telnet via web API | Remote root shell via backdoor, no authentication needed |
| CVE-2025-46627 | OS root password generated from device MAC address | Allows attacker to calculate and use the root password |
| CVE-2025-46630 | Unauthenticated enabling of “ate” service via web API | Activates a vulnerable, undocumented management service |
| CVE-2025-46629 | “ate” service lacks authentication | Anyone can send commands to the service |
| CVE-2025-46626 | “ate” service uses static key/IV for encryption | Allows traffic replay, decryption, and forging commands |
| CVE-2025-46628 | Command injection in “ate” via ifconfig command | Unauthenticated root command execution |
| CVE-2025-46625 | Command injection in setLanCfg httpd API | Authenticated users can get persistent root shell |
エクスプロイト・シナリオ
- ゲスト・ネットワーク・バイパス:ゲスト Wi-Fi 上の攻撃者は、メイン・ネットワークの “Layer 2 隣接” 状態になり、基本的なサブネット制限を回避できる。それにより、さらなる攻撃のための足掛かりが生じる。
- バックドア・サービス:認証されていないユーザーであっても、”telnet” や “ate” を有効化であきる。どちらも、パスワードなしでシェル・アクセスを許可し、コマンド・インジェクションを許可するバックドアになり得る。
- 脆弱な暗号化:暗号化が使用されている場合であっても、静的な IV とキーが平文で送信されるため、暗号化は無効となってしまう。管理者のコマンドとセッションを傍受する攻撃者は、それらの復号化を可能にする。
すべての発見された脆弱性が、研究者たちから Tenda に報告されたが、この記事の公開時点では、アップデートや修正はリリースされていない。
Tenda RX2 Pro の所有者に対して強く推奨されるのは、公式パッチがリリースされるまでの間、ルーターを信頼できないネットワークから切断し、代替デバイスを検討することだ。
これらの脆弱性が浮き彫りにするのは、消費者向けネットワーク機器であっても、業界標準の堅牢なセキュリティ対策が必要であることだ。Tenda が対策を講じるまでユーザーは、ネットワーク内外の攻撃者からの、深刻なリスクにさらされ続けることになる。
Tenda の RX2 Pro Dual-Band Gigabit Wi-Fi 6 Router に、11件の脆弱性が発見されました。認証情報/セッション・キー送信/暗号化方法になど関連する多数の脆弱性が、Web 管理インターフェイスに存在するとのことです。パッチ未適用の期間が、どこまで続くのか、そのあたりが分かりませんが、ご利用のユーザーは、ご注意ください。よろしければ、Tenda で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.