Cảnh báo: Phát hiện Backdoor ẩn trong firmware bộ định tuyến Tenda
CERT/CC vừa phát đi cảnh báo về một backdoor chưa được công bố trong firmware của nhiều dòng router Tenda, cho phép kẻ tấn công chiếm quyền quản trị mà không cần mật khẩu hợp...
Trung tâm Điều phối CERT (CERT/CC) mới đây đã đưa ra cảnh báo khẩn cấp về việc phát hiện một backdoor (cửa sau) không được ghi nhận trong firmware của nhiều thiết bị mạng do hãng Tenda sản xuất. Lỗ hổng này cho phép kẻ tấn công truy cập vào giao diện quản trị web của thiết bị mà không cần thông tin đăng nhập hợp lệ.
Table Of Content
Chi tiết về lỗ hổng CVE-2026-11405
Lỗ hổng này được định danh là CVE-2026-11405. Theo phân tích từ CERT/CC, kẻ tấn công có thể bypass (vượt qua) quy trình xác thực mật khẩu để giành quyền kiểm soát quản trị viên (admin) toàn diện đối với thiết bị.
Vấn đề nằm ở hàm login() trong file nhị phân /bin/httpd. Mặc dù ban đầu hệ thống thực hiện xác thực bằng MD5, nhưng nếu quá trình này thất bại, mã nguồn sẽ kích hoạt một đường dẫn thay thế. Tại đây, thiết bị sẽ gọi hàm GetValue("sys.rzadmin.password") để lấy mật khẩu từ cấu hình hệ thống và so sánh trực tiếp với mật khẩu do người dùng nhập vào dưới dạng văn bản thuần (plaintext). Nếu khớp, hệ thống sẽ cấp quyền truy cập admin (role=2) và tạo phiên làm việc với đặc quyền cao nhất.
Đáng chú ý, tên người dùng rzadmin không được kiểm tra, nghĩa là bất kỳ tên đăng nhập nào cũng có thể được sử dụng kèm với mật khẩu backdoor này.
Các phiên bản firmware bị ảnh hưởng
Danh sách các phiên bản firmware bị ảnh hưởng bao gồm:
- US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
- US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
- US_AC10V1.0re_V15.03.06.46_multi_TDE01
- US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
- US_AC6V2.0RTL_V15.03.06.51_multi_T
Khuyến nghị cho người dùng
Tại thời điểm viết bài, lỗ hổng này vẫn chưa có bản vá (patch) chính thức từ nhà sản xuất. Để giảm thiểu rủi ro bị khai thác, người dùng được khuyến cáo:
- Vô hiệu hóa tính năng quản trị từ xa (remote management) trên thiết bị.
- Thay đổi địa chỉ IP LAN mặc định để tránh bị các công cụ quét tự động phát hiện.
- Thường xuyên theo dõi các thông báo từ Tenda để cập nhật firmware ngay khi có bản vá bảo mật.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.