- Một số firmware thiết bị mạng Tenda có backdoor xác thực không được tài liệu hóa, cho phép giành quyền quản trị trên giao diện quản lý web mà không cần thông tin xác thực hợp lệ
- CVE-2026-11405 hoạt động theo luồng kiểm tra giá trị
sys.rzadmin.passwordnhư một mật khẩu thay thế sau khi bước xác minh mật khẩu thông thường thất bại - Nếu mật khẩu nhập vào khớp với giá trị cấu hình, một phiên quản trị
role=2sẽ được tạo mà không cần xác minh tên người dùng, dẫn đến bỏ qua xác thực - Phạm vi ảnh hưởng gồm các phiên bản firmware cụ thể của dòng FH1201, W15E, AC10, AC5 và AC6; khi bị khai thác, kẻ tấn công có thể cấu hình lại thiết bị, thay đổi thiết lập mạng và vô hiệu hóa các tính năng bảo mật
- Vì chưa có bản vá, việc giảm mức độ phơi lộ hiện phải dựa vào các biện pháp giảm thiểu hạn chế như tắt quản lý web từ xa và thay đổi IP LAN mặc định
Cơ chế hoạt động và rủi ro của backdoor xác thực
- Tenda cung cấp thiết bị mạng cho gia đình và doanh nghiệp như router, switch, điểm truy cập không dây và thiết bị giám sát hình ảnh
- Nhiều thiết bị trong số này cung cấp giao diện web để cấu hình và quản trị, thường được bảo vệ bằng tên người dùng và mật khẩu
- Tệp nhị phân
/bin/httpdtrong firmware dễ bị ảnh hưởng chứa cơ chế xác thực backdoor không được tài liệu hóa bên trong hàmlogin()- Trước tiên, nó thực hiện bước xác minh mật khẩu dựa trên MD5 trong luồng xác thực thông thường
- Nếu xác thực thất bại, nó gọi
GetValue("sys.rzadmin.password")để lấy giá trị mật khẩu thay thế từ cấu hình thiết bị - Sau đó, nó so sánh trực tiếp mật khẩu do người dùng nhập với giá trị đã lưu bằng
strcmp()dạng văn bản thuần - Nếu giá trị khớp, nó cấp quyền quản trị
role=2và tạo một phiên hợp lệ
- Trong luồng này, không có bước xác minh tên người dùng
- Dù nhập tên người dùng nào, nếu gửi kèm mật khẩu backdoor thì xác thực vẫn thành công
- Cơ chế xác thực này không được tài liệu hóa và cũng không hiển thị trong giao diện quản trị
- Nếu khai thác thành công, kẻ tấn công có thể giành toàn quyền quản trị trên giao diện web của thiết bị bất kể thông tin đăng nhập tài khoản quản trị đã cấu hình là gì
- Có thể cấu hình lại thiết bị
- Có thể thay đổi thiết lập mạng
- Có thể vô hiệu hóa các tính năng bảo mật
- Có thể dẫn tới xâm phạm sâu rộng hơn trong mạng nội bộ
Firmware bị ảnh hưởng và biện pháp ứng phó hiện tại
- Các phiên bản firmware bị ảnh hưởng:
US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_T
- Việc điều phối công bố lỗ hổng với nhà cung cấp đã thất bại nên chưa có bản vá được cung cấp
- Các biện pháp giảm thiểu có thể áp dụng trước khi có phiên bản đã sửa lỗi:
- Tắt quản lý từ xa
- Nếu thiết bị hỗ trợ quản lý web từ xa, cần vô hiệu hóa tính năng này
- Điều này giúp ngăn kẻ tấn công từ mạng bên ngoài truy cập bảng điều khiển quản trị thiết bị qua Internet
- Hạn chế mức độ lộ diện trên mạng nội bộ
- Thay đổi địa chỉ IP LAN mặc định có thể làm giảm khả năng bị các trình quét tự động nhắm vào dải IP mặc định đã biết phát hiện một cách cơ hội
- Tuy vậy, biện pháp này không ngăn được các đợt quét mạng có chủ đích hoặc nhắm mục tiêu
- Tắt quản lý từ xa
- Các mã định danh và tài liệu tham khảo liên quan:
1 bình luận
Ý kiến trên Hacker News
Bài viết không nêu giá trị
sys.rzadmin.password, nhưng nó đã được công khai trong bài phân tích năm 2022: https://boschko.ca/tenda_ac1200_router/Spoiler: giá trị là rzadmin, và trong firmware có vẻ còn khá nhiều thứ thú vị khác
Nếu là backdoor thì ít nhất hẳn họ đã cố làm kín đáo hơn một chút :)
rzđọc lên nghe giống tiếng Đức, vì trong vùng nói tiếng Đức đó là viết tắt phổ biến của RechenZentrum, tức trung tâm dữ liệuTrong tiếng Anh cảm giác như
dcadmin. Tôi nghĩ có thể họ đã thuê ngoài cho bên kiểu “gute Deutsche Wertarbeit”, hoặc là dấu vết của một cơ quan nào đó đã được hưởng lợi, hoặc cũng có thể chỉ là màn tung hỏa mù của ai đóTôi không biết nhiều về Tenda, nhưng họ được mô tả là nhà cung cấp router, switch, AP không dây và thiết bị giám sát video cho gia đình/doanh nghiệp; phần giới thiệu công ty ở https://www.tendacn.com/us/profile
Trong các thương hiệu Trung Quốc, có nhiều trường hợp dùng cùng linh kiện bên trong rồi chỉ đổi vỏ ngoài hoặc rebrand thành thương hiệu cạnh tranh, nên tôi nghĩ Tenda cũng có thể như vậy. Tôi từng thấy chuyện đó ở mảng camera an ninh
Giá mà các tác giả cung cấp cả cách xác minh lỗ hổng, chứ không chỉ phiên bản firmware. Vì Tenda có thể chỉ đổi mật khẩu rồi nói “giờ an toàn rồi”
Tôi vẫn còn một bộ adapter Ethernet qua đường điện mua khoảng 10 năm trước nằm đâu đó trong tủ. Hồi đó mật khẩu quản trị là
admingần như là tiêu chuẩn, và nhiều thiết bị còn in thẳng trên thân máyHọ không giống kiểu doanh nghiệp nhà nước, nên tôi nghĩ khả năng cao là thật sự không quan tâm đến chất lượng hơn là có ý đồ cực kỳ xấu xa
“Tên người dùng được kết nối không được kiểm tra, nên bất kỳ tên người dùng nào đi kèm mật khẩu backdoor đều thành công” — thật ấn tượng
Tôi không hiểu vì sao khách hàng phải tin một nhà sản xuất như vậy. Từ giờ chắc tôi sẽ không bao giờ dùng router có firmware hộp đen do vendor cung cấp nữa
Trước khi dùng tôi luôn sẽ cài thứ như OpenWRT, và nếu vì lý do nào đó không thể cài thì tôi thậm chí sẽ không cân nhắc mua thiết bị đó
Ở những nơi mạng không dây đông đúc và nhiễu như khu chung cư, các tính năng này quan trọng để đảm bảo vùng phủ, cường độ tín hiệu và thông lượng. Tôi tò mò không biết phía OpenWRT đã tìm ra cách né chưa, hay các nhà sản xuất đã hợp tác hơn với driver mở dùng firmware có thể nạp
Khi đó chắc chắn hiệu quả điện năng sẽ kém hơn nhiều so với thiết bị dùng chip switch chuyên dụng
Thật đáng kinh ngạc khi các công ty thiết bị mạng cứ nhất quán tạo ra rác như thế này
Hơn nữa lúc nào cũng là backdoor kiểu nghiệp dư. Nếu nó tinh vi hơn thì ít ra còn có thể tự nhủ “chắc là cơ quan an ninh nào đó bắt làm” rồi cho qua
Hoặc cũng có thể chúng được cố tình đặt ở mức nghiệp dư để bị phát hiện
Điều này với tôi lại là tin vui. Tôi có vài router cube của Tenda; thực chất chỉ như bộ lặp WiFi thêm chút chức năng mesh, nhưng firmware bị buộc quá chặt vào ứng dụng nên tôi luôn ghét
Giờ với quyền truy cập root, việc đi vòng qua ứng dụng sẽ dễ hơn nhiều, và tôi cũng có thể tắt cơ chế ping cứ liên tục gửi truy vấn DNS tới
microsoft.comđể hiển thị đèn xanhThành thật mà nói, cái này trông giống thông tin đăng nhập truy cập dành cho nhà phát triển hoặc thông tin đăng nhập mặc định bị nhúng trong firmware hơn là “backdoor” theo sắc thái ác ý. Có lẽ quy trình dự kiến là giữ nguyên mã nhưng trong quá trình sản xuất sẽ ngẫu nhiên hóa khóa để không thể đoán được; rồi bước bổ sung đó bị bỏ qua vì phiền, hoặc họ flash firmware gốc mà không có cấu hình sản xuất nên bị lộ
rzadmin. Các nhà khoa học cũng đang bối rốiVì vậy tôi tự cấu hình router/firewall bằng phần cứng phổ thông và bản phân phối Linux
ipchains. Khi đó đó là cách duy nhất để có một router không quá đắtSau này router tiêu dùng/prosumer mới xuất hiện, nhưng rốt cuộc cái cũ lại thành cái mới
Tôi từng dùng sản phẩm WiFi du lịch của Tenda vào thời WiFi khách sạn còn như một con quái vật khó hiểu
Giờ nhờ eSIM và các gói Internet du lịch phổ biến, WiFi khách sạn có khi lại là đường kết nối khó tin cậy nhất, nên có lẽ không còn cần thiết nữa
Tôi cũng có một thiết bị Mikrotik được tặng miễn phí cùng tầm giá; nó nhỏ hơn về mặt vật lý và chạy thứ trông giống mã dòng chính hơn. Dù có nói gì về chất lượng Mikrotik, họ vẫn cung cấp gần như mọi núm cấu hình mà bạn muốn
Mỗi người dùng nằm trong VLAN riêng, mỗi phòng dùng PPSK riêng. Thông tin đăng nhập cũng được tạo ngẫu nhiên, chứ không theo kiểu vô lý như họ + số phòng. Chúng tôi cũng tự xây hệ thống kiểm soát ra vào và dùng MIFARE DESFire EV3, loại thẻ khóa mạnh nhất có thể tìm được lúc đó. Chúng tôi thật sự đang cố tạo ra một khách sạn mà bảo mật không trông như trò đùa
Mỹ/Israel thì chắc chắn sẽ không bao giờ làm chuyện này, vậy cứ mua UniFi/Fortinet/Palo Alto là được nhỉ!
Ví dụ: https://www.thestack.technology/cisco-hard-coding-passwords-...
ifconfigcủa tôi đơn giản lắm. Nếu làm ở Shenzhen thì vứtPhần cứng/firmware Tenda gần đây được mã hóa như các ví dụ dưới đây, nên việc kiểm toán có vẻ khó hơn
US_AC10V6.0si_V16.03.62.09_multi_TDE01.binvàUS_BE12ProV1.0mt_V16.03.66.23_TD01.binkhi xem bằngbinwalkđều có mã hóa OpenSSLFile thứ ba tôi thử,
US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin, không được mã hóa, và cho thấy vấn đề có thể tồn tại ở các mẫu khác không nằm trong danh sách bị ảnh hưởng của CVE này. Bên trong/squashfs-root/webroot_ro/default_ac.cfgvàdefault_router.cfgcósys.rzadmin.username=rzadmin,sys.rzadmin.password=cnphZG1pbg==; giải mã Base64 ra làrzadmin. Cũng thấy cóguest/guestNhìn nhanh thì
sys.rzadmin.passwordchỉ được tham chiếu trong ngữ cảnh lấy giá trị rồi so sánh ở hàmlogin()của/bin/httpd; nếu sai sẽ hiện"login err: password is wrong.". Tôi không tìm thấy tham chiếu mã nào trong firmware cho phép người dùng thay đổi giá trị mặc định nàyThêm nữa,
imsd_upload_log_v1trong/bin/imsdthu thập SSID, MAC, địa chỉ IP,sys.admin.username,sys.rzadmin.usernamevà múi giờ; cònimsd_remote_pwd_getlấysys.admin.password. Thư viện liên quan/lib/lubucapi.socũng có vẻ là một binary đáng xem kỹ hơn; dường như nó chứa một tập lệnh cho phép quản lý đám mây hoặc gỡ lỗi từ xa trên router Tenda, và đây có thể là lý do/bin/imsdcóimsd_remote_pwd_get