Một lỗ hổng CVE nghiêm trọng vừa được phát hiện trên các thiết bị mạng Tenda, cho phép kẻ tấn công chiếm quyền quản trị toàn bộ hệ thống mà không cần thông tin đăng nhập hợp lệ. Lỗ hổng này tạo ra một cửa hậu xác thực (authentication backdoor) có thể bị khai thác để gây ra những thiệt hại đáng kể.
Chi tiết Lỗ hổng CVE-2026-11405
Lỗ hổng này, được theo dõi với mã định danh CVE-2026-11405, đã được CERT Coordination Center công bố vào ngày 6 tháng 7 năm 2026, trong bản tin về lỗ hổng VU#213560. Nó ảnh hưởng đến nhiều phiên bản firmware trên các dòng router Tenda phổ biến như FH1201, W15E, AC10, AC5 và AC6. Các thiết bị này thường được sử dụng rộng rãi trong môi trường gia đình và doanh nghiệp nhỏ.
Cơ chế hoạt động của lỗ hổng
Vấn đề cốt lõi nằm ở tệp nhị phân máy chủ web /bin/httpd. Cụ thể, hàm login() chứa một cơ chế xác thực không được ghi nhận chính thức. Thông thường, hàm này xác thực thông tin người dùng bằng phương pháp băm MD5. Tuy nhiên, khi quá trình xác thực thông thường thất bại, hệ thống sẽ chuyển sang một luồng thực thi thay thế, kích hoạt một cửa hậu ẩn.
Cửa hậu này sẽ truy xuất một giá trị mật khẩu thứ cấp từ cấu hình thiết bị thông qua hàm GetValue("sys.rzadmin.password"). Điểm nguy hiểm là hệ thống thực hiện so sánh trực tiếp mật khẩu dạng văn bản thuần (plaintext strcmp()) thay vì sử dụng các kỹ thuật băm hoặc so sánh an toàn.
Nếu so sánh này thành công, hệ thống sẽ cấp quyền quản trị bằng cách gán vai trò role=2 và tạo một phiên làm việc hợp lệ. Một khía cạnh quan trọng của lỗ hổng này là tên người dùng không được xác thực trong quá trình này. Điều này có nghĩa là kẻ tấn công có thể sử dụng bất kỳ tên người dùng tùy ý nào cùng với mật khẩu cửa hậu để giành quyền kiểm soát hành chính hoàn toàn.
Cơ chế này không được ghi lại và không thể phát hiện thông qua giao diện quản trị tiêu chuẩn, làm tăng tính nguy hiểm của nó. Đây là một rủi ro bảo mật nghiêm trọng cho người dùng các thiết bị Tenda.
Ảnh hưởng của việc khai thác lỗ hổng
Việc khai thác thành công lỗ hổng này cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn các thiết bị bị ảnh hưởng. Với quyền truy cập quản trị, kẻ tấn công có thể thực hiện các hành động sau:
- Sửa đổi cấu hình mạng.
- Chuyển hướng lưu lượng truy cập.
- Tắt các biện pháp kiểm soát an ninh.
- Triển khai firmware độc hại.
Mức độ kiểm soát này có thể tạo điều kiện cho các tấn công mạng quy mô lớn hơn, bao gồm cả các cuộc tấn công nghe lén Man-in-the-Middle, duy trì sự hiện diện trong mạng nội bộ và di chuyển ngang sang các hệ thống được kết nối khác.
Các biện pháp giảm thiểu và khuyến nghị
Tại thời điểm công bố, Tenda chưa phát hành bản vá lỗi hoặc bản cập nhật firmware chính thức nào. Các nỗ lực liên hệ với nhà cung cấp để giải quyết vấn đề này đã không thành công. Do đó, người dùng được khuyến cáo thực hiện các bước giảm thiểu khẩn cấp để hạn chế rủi ro.
Khuyến nghị bảo mật
- Tắt tính năng quản lý web từ xa: Đây là biện pháp quan trọng nhất để ngăn chặn truy cập trái phép từ bên ngoài vào giao diện quản trị của thiết bị.
- Thay đổi địa chỉ IP cục bộ mặc định: Việc này có thể giảm khả năng bị tấn công quét tự động nhắm vào các dải địa chỉ IP đã biết, tuy nhiên, nó không ngăn chặn được các kẻ tấn công có chủ đích.
Sự tồn tại của các cửa hậu ẩn này đặt ra những lo ngại nghiêm trọng về các phương pháp bảo mật firmware và độ tin cậy của chuỗi cung ứng phần cứng. Người dùng và các tổ chức đang sử dụng các thiết bị Tenda bị ảnh hưởng nên theo dõi chặt chẽ các thông báo cập nhật từ Tenda. Nếu không có bản sửa lỗi nào được cung cấp, việc xem xét thay thế các thiết bị này là cần thiết để đảm bảo an toàn thông tin.
Để tìm hiểu thêm về các lỗ hổng tương tự và các phân tích bảo mật, vui lòng tham khảo trang web của NVD tại NVD – National Vulnerability Database.
Các cảnh báo CVE như thế này nhấn mạnh tầm quan trọng của việc kiểm tra định kỳ và cập nhật bản vá cho các thiết bị mạng, đặc biệt là các thiết bị nằm trong mạng lưới người dùng.










