1 điểm bởi GN⁺ 4 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Một số firmware thiết bị mạng Tenda có backdoor xác thực không được tài liệu hóa, cho phép giành quyền quản trị trên giao diện quản lý web mà không cần thông tin xác thực hợp lệ
  • CVE-2026-11405 hoạt động theo luồng kiểm tra giá trị sys.rzadmin.password như một mật khẩu thay thế sau khi bước xác minh mật khẩu thông thường thất bại
  • Nếu mật khẩu nhập vào khớp với giá trị cấu hình, một phiên quản trị role=2 sẽ được tạo mà không cần xác minh tên người dùng, dẫn đến bỏ qua xác thực
  • Phạm vi ảnh hưởng gồm các phiên bản firmware cụ thể của dòng FH1201, W15E, AC10, AC5 và AC6; khi bị khai thác, kẻ tấn công có thể cấu hình lại thiết bị, thay đổi thiết lập mạng và vô hiệu hóa các tính năng bảo mật
  • Vì chưa có bản vá, việc giảm mức độ phơi lộ hiện phải dựa vào các biện pháp giảm thiểu hạn chế như tắt quản lý web từ xa và thay đổi IP LAN mặc định

Cơ chế hoạt động và rủi ro của backdoor xác thực

  • Tenda cung cấp thiết bị mạng cho gia đình và doanh nghiệp như router, switch, điểm truy cập không dây và thiết bị giám sát hình ảnh
  • Nhiều thiết bị trong số này cung cấp giao diện web để cấu hình và quản trị, thường được bảo vệ bằng tên người dùng và mật khẩu
  • Tệp nhị phân /bin/httpd trong firmware dễ bị ảnh hưởng chứa cơ chế xác thực backdoor không được tài liệu hóa bên trong hàm login()
    • Trước tiên, nó thực hiện bước xác minh mật khẩu dựa trên MD5 trong luồng xác thực thông thường
    • Nếu xác thực thất bại, nó gọi GetValue("sys.rzadmin.password") để lấy giá trị mật khẩu thay thế từ cấu hình thiết bị
    • Sau đó, nó so sánh trực tiếp mật khẩu do người dùng nhập với giá trị đã lưu bằng strcmp() dạng văn bản thuần
    • Nếu giá trị khớp, nó cấp quyền quản trị role=2 và tạo một phiên hợp lệ
  • Trong luồng này, không có bước xác minh tên người dùng
    • Dù nhập tên người dùng nào, nếu gửi kèm mật khẩu backdoor thì xác thực vẫn thành công
    • Cơ chế xác thực này không được tài liệu hóa và cũng không hiển thị trong giao diện quản trị
  • Nếu khai thác thành công, kẻ tấn công có thể giành toàn quyền quản trị trên giao diện web của thiết bị bất kể thông tin đăng nhập tài khoản quản trị đã cấu hình là gì
    • Có thể cấu hình lại thiết bị
    • Có thể thay đổi thiết lập mạng
    • Có thể vô hiệu hóa các tính năng bảo mật
    • Có thể dẫn tới xâm phạm sâu rộng hơn trong mạng nội bộ

Firmware bị ảnh hưởng và biện pháp ứng phó hiện tại

  • Các phiên bản firmware bị ảnh hưởng:
    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • Việc điều phối công bố lỗ hổng với nhà cung cấp đã thất bại nên chưa có bản vá được cung cấp
  • Các biện pháp giảm thiểu có thể áp dụng trước khi có phiên bản đã sửa lỗi:
    • Tắt quản lý từ xa
      • Nếu thiết bị hỗ trợ quản lý web từ xa, cần vô hiệu hóa tính năng này
      • Điều này giúp ngăn kẻ tấn công từ mạng bên ngoài truy cập bảng điều khiển quản trị thiết bị qua Internet
    • Hạn chế mức độ lộ diện trên mạng nội bộ
      • Thay đổi địa chỉ IP LAN mặc định có thể làm giảm khả năng bị các trình quét tự động nhắm vào dải IP mặc định đã biết phát hiện một cách cơ hội
      • Tuy vậy, biện pháp này không ngăn được các đợt quét mạng có chủ đích hoặc nhắm mục tiêu
  • Các mã định danh và tài liệu tham khảo liên quan:

1 bình luận

 
Ý kiến trên Hacker News
  • Bài viết không nêu giá trị sys.rzadmin.password, nhưng nó đã được công khai trong bài phân tích năm 2022: https://boschko.ca/tenda_ac1200_router/
    Spoiler: giá trị là rzadmin, và trong firmware có vẻ còn khá nhiều thứ thú vị khác

    • Đến mức này thì gọi là cửa trước công khai có lẽ còn đúng hơn là backdoor
    • Tới đây thì thậm chí không phải backdoor nữa, mà giống thiết kế mật khẩu root mặc định ngu ngốc từng phổ biến trên loại phần cứng này hơn
      Nếu là backdoor thì ít nhất hẳn họ đã cố làm kín đáo hơn một chút :)
    • Nếu được giấu sơ sài như vậy, trông nó giống một tính năng tiện cho nhà phát triển bị quên gỡ trước khi phát hành
    • Nếu gần 4 năm sau lần thông báo cuối cùng mà mật khẩu vẫn y nguyên, thì hoặc là thật sự bất tài, hoặc là liều đến mức buồn cười
    • rz đọc lên nghe giống tiếng Đức, vì trong vùng nói tiếng Đức đó là viết tắt phổ biến của RechenZentrum, tức trung tâm dữ liệu
      Trong tiếng Anh cảm giác như dcadmin. Tôi nghĩ có thể họ đã thuê ngoài cho bên kiểu “gute Deutsche Wertarbeit”, hoặc là dấu vết của một cơ quan nào đó đã được hưởng lợi, hoặc cũng có thể chỉ là màn tung hỏa mù của ai đó
  • Tôi không biết nhiều về Tenda, nhưng họ được mô tả là nhà cung cấp router, switch, AP không dây và thiết bị giám sát video cho gia đình/doanh nghiệp; phần giới thiệu công ty ở https://www.tendacn.com/us/profile
    Trong các thương hiệu Trung Quốc, có nhiều trường hợp dùng cùng linh kiện bên trong rồi chỉ đổi vỏ ngoài hoặc rebrand thành thương hiệu cạnh tranh, nên tôi nghĩ Tenda cũng có thể như vậy. Tôi từng thấy chuyện đó ở mảng camera an ninh
    Giá mà các tác giả cung cấp cả cách xác minh lỗ hổng, chứ không chỉ phiên bản firmware. Vì Tenda có thể chỉ đổi mật khẩu rồi nói “giờ an toàn rồi”

    • Tenda là công ty khá lâu đời nên tôi không nghĩ họ sẽ là hàng rebrand
      Tôi vẫn còn một bộ adapter Ethernet qua đường điện mua khoảng 10 năm trước nằm đâu đó trong tủ. Hồi đó mật khẩu quản trị là admin gần như là tiêu chuẩn, và nhiều thiết bị còn in thẳng trên thân máy
    • Tenda là thương hiệu rất phổ biến ở châu Á, và nhiều ISP dùng làm router mặc định
    • Cũng có tuyên bố rằng họ là “nhà sản xuất router và thiết bị mạng không dây tự phát triển đầu tiên của Trung Quốc”
    • Người yêu cũ của tôi từng làm ở bộ phận kinh doanh của Tenda. Trước đó tôi cũng từng thấy họ trong bối cảnh các switch không quản lý giá rẻ trên Amazon
      Họ không giống kiểu doanh nghiệp nhà nước, nên tôi nghĩ khả năng cao là thật sự không quan tâm đến chất lượng hơn là có ý đồ cực kỳ xấu xa
    • Tôi sống ở Mỹ và có một USB WiFi dongle của Tenda. Dù không nổi tiếng như các thương hiệu khác, chúng vẫn khá phổ biến
  • “Tên người dùng được kết nối không được kiểm tra, nên bất kỳ tên người dùng nào đi kèm mật khẩu backdoor đều thành công” — thật ấn tượng
    Tôi không hiểu vì sao khách hàng phải tin một nhà sản xuất như vậy. Từ giờ chắc tôi sẽ không bao giờ dùng router có firmware hộp đen do vendor cung cấp nữa
    Trước khi dùng tôi luôn sẽ cài thứ như OpenWRT, và nếu vì lý do nào đó không thể cài thì tôi thậm chí sẽ không cân nhắc mua thiết bị đó

    • Lần cuối tôi xem, OpenWRT không hỗ trợ đúng cách các tính năng MIMO và beamforming trên nhiều thiết bị
      Ở những nơi mạng không dây đông đúc và nhiễu như khu chung cư, các tính năng này quan trọng để đảm bảo vùng phủ, cường độ tín hiệu và thông lượng. Tôi tò mò không biết phía OpenWRT đã tìm ra cách né chưa, hay các nhà sản xuất đã hợp tác hơn với driver mở dùng firmware có thể nạp
    • Có ai dùng vượt 1Gbit không? Nếu tôi hiểu đúng thì ngay cả router tốt và rẻ như Mikrotik CCR2004 cũng hoàn toàn đóng, nên lựa chọn duy nhất là tự dựng một cái hộp tạm bợ
      Khi đó chắc chắn hiệu quả điện năng sẽ kém hơn nhiều so với thiết bị dùng chip switch chuyên dụng
    • Cách tiếp cận đó tốt, nhưng ngay từ đầu bảo mật không nên phụ thuộc vào router. Bạn phải chịu được cả các cuộc tấn công đến từ router
  • Thật đáng kinh ngạc khi các công ty thiết bị mạng cứ nhất quán tạo ra rác như thế này
    Hơn nữa lúc nào cũng là backdoor kiểu nghiệp dư. Nếu nó tinh vi hơn thì ít ra còn có thể tự nhủ “chắc là cơ quan an ninh nào đó bắt làm” rồi cho qua

    • Có thể chỉ những backdoor được phát hiện mới ở trình độ nghiệp dư
      Hoặc cũng có thể chúng được cố tình đặt ở mức nghiệp dư để bị phát hiện
    • Sự thật đáng buồn là quá ít khách hàng chịu trả thêm tiền cho bảo mật đúng nghĩa. Mà ngay cả khi trả tiền, liệu có thật sự nhận được hay không lại là chuyện khác
    • Trông không giống vô tình tạo ra rác, mà giống kết quả của việc làm theo kế hoạch và đưa ra quyết định
  • Điều này với tôi lại là tin vui. Tôi có vài router cube của Tenda; thực chất chỉ như bộ lặp WiFi thêm chút chức năng mesh, nhưng firmware bị buộc quá chặt vào ứng dụng nên tôi luôn ghét
    Giờ với quyền truy cập root, việc đi vòng qua ứng dụng sẽ dễ hơn nhiều, và tôi cũng có thể tắt cơ chế ping cứ liên tục gửi truy vấn DNS tới microsoft.com để hiển thị đèn xanh
    Thành thật mà nói, cái này trông giống thông tin đăng nhập truy cập dành cho nhà phát triển hoặc thông tin đăng nhập mặc định bị nhúng trong firmware hơn là “backdoor” theo sắc thái ác ý. Có lẽ quy trình dự kiến là giữ nguyên mã nhưng trong quá trình sản xuất sẽ ngẫu nhiên hóa khóa để không thể đoán được; rồi bước bổ sung đó bị bỏ qua vì phiền, hoặc họ flash firmware gốc mà không có cấu hình sản xuất nên bị lộ

    • Vì sao thiết bị tiêu dùng lại cần mật khẩu được ngẫu nhiên hóa?
    • Đúng vậy, đã ngẫu nhiên hóa rồi, nhưng do tính chất sóng xác suất phổ quát của vũ trụ nên lần nào cũng ngẫu nhiên ra rzadmin. Các nhà khoa học cũng đang bối rối
  • Vì vậy tôi tự cấu hình router/firewall bằng phần cứng phổ thông và bản phân phối Linux

    • Tôi còn nhớ cuối thập niên 90 làm việc này với ipchains. Khi đó đó là cách duy nhất để có một router không quá đắt
      Sau này router tiêu dùng/prosumer mới xuất hiện, nhưng rốt cuộc cái cũ lại thành cái mới
    • Tenda được OpenWRT hỗ trợ khá tốt
    • Tôi đang muốn tự cấu hình để thoát khỏi router mặc định do ISP cho mượn, và muốn biết có phần cứng và bản phân phối nào đáng khuyên dùng không
  • Tôi từng dùng sản phẩm WiFi du lịch của Tenda vào thời WiFi khách sạn còn như một con quái vật khó hiểu
    Giờ nhờ eSIM và các gói Internet du lịch phổ biến, WiFi khách sạn có khi lại là đường kết nối khó tin cậy nhất, nên có lẽ không còn cần thiết nữa
    Tôi cũng có một thiết bị Mikrotik được tặng miễn phí cùng tầm giá; nó nhỏ hơn về mặt vật lý và chạy thứ trông giống mã dòng chính hơn. Dù có nói gì về chất lượng Mikrotik, họ vẫn cung cấp gần như mọi núm cấu hình mà bạn muốn

    • Hiện tôi đang làm một dự án khách sạn, và đã bỏ khá nhiều công sức để làm WiFi an toàn hơn
      Mỗi người dùng nằm trong VLAN riêng, mỗi phòng dùng PPSK riêng. Thông tin đăng nhập cũng được tạo ngẫu nhiên, chứ không theo kiểu vô lý như họ + số phòng. Chúng tôi cũng tự xây hệ thống kiểm soát ra vào và dùng MIFARE DESFire EV3, loại thẻ khóa mạnh nhất có thể tìm được lúc đó. Chúng tôi thật sự đang cố tạo ra một khách sạn mà bảo mật không trông như trò đùa
  • Mỹ/Israel thì chắc chắn sẽ không bao giờ làm chuyện này, vậy cứ mua UniFi/Fortinet/Palo Alto là được nhỉ!

    • Từng có một meme sơ đồ mạng kiểu xếp tường lửa Mỹ phía sau tường lửa Trung Quốc, rồi tường lửa Nga phía sau nữa để các backdoor của nhau chặn lẫn nhau
    • Các công ty đó, và cả Cisco nữa, sẽ còn nhiều việc phải làm nếu muốn bắt kịp về số lượng và tốc độ của “backdoor xác thực ẩn”
      Ví dụ: https://www.thestack.technology/cisco-hard-coding-passwords-...
    • Không biết bạn có đang đùa không, nhưng cả hai bên đều đã từng làm chuyện đó rồi. Và công ty Mỹ có thể bị buộc triển khai backdoor theo lệnh bí mật nếu có yêu cầu
  • ifconfig của tôi đơn giản lắm. Nếu làm ở Shenzhen thì vứt

    • Hơn một nửa linh kiện điện tử của bạn có lẽ được sản xuất ở Shenzhen
  • Phần cứng/firmware Tenda gần đây được mã hóa như các ví dụ dưới đây, nên việc kiểm toán có vẻ khó hơn
    US_AC10V6.0si_V16.03.62.09_multi_TDE01.binUS_BE12ProV1.0mt_V16.03.66.23_TD01.bin khi xem bằng binwalk đều có mã hóa OpenSSL
    File thứ ba tôi thử, US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin, không được mã hóa, và cho thấy vấn đề có thể tồn tại ở các mẫu khác không nằm trong danh sách bị ảnh hưởng của CVE này. Bên trong /squashfs-root/webroot_ro/default_ac.cfgdefault_router.cfgsys.rzadmin.username=rzadmin, sys.rzadmin.password=cnphZG1pbg==; giải mã Base64 ra là rzadmin. Cũng thấy có guest/guest
    Nhìn nhanh thì sys.rzadmin.password chỉ được tham chiếu trong ngữ cảnh lấy giá trị rồi so sánh ở hàm login() của /bin/httpd; nếu sai sẽ hiện "login err: password is wrong.". Tôi không tìm thấy tham chiếu mã nào trong firmware cho phép người dùng thay đổi giá trị mặc định này
    Thêm nữa, imsd_upload_log_v1 trong /bin/imsd thu thập SSID, MAC, địa chỉ IP, sys.admin.username, sys.rzadmin.username và múi giờ; còn imsd_remote_pwd_get lấy sys.admin.password. Thư viện liên quan /lib/lubucapi.so cũng có vẻ là một binary đáng xem kỹ hơn; dường như nó chứa một tập lệnh cho phép quản lý đám mây hoặc gỡ lỗi từ xa trên router Tenda, và đây có thể là lý do /bin/imsdimsd_remote_pwd_get