Hàng loạt thiết bị mạng của thương hiệu Tenda vừa bị phát hiện chứa một cửa hậu bí mật cho phép truy cập trái phép. Đáng nói là nhà sản xuất hoàn toàn phớt lờ các cảnh báo bảo mật từ chuyên gia, đẩy người sử dụng vào tình thế nguy hiểm.
Nhóm phản ứng sự cố máy tính (CERT/CC) trực thuộc chính phủ Mỹ vừa công bố một lỗ hổng phần mềm nghiêm trọng vào ngày 6 tháng 7. Cụ thể, tin tặc có thể giành quyền kiểm soát quản trị viên toàn diện đối với nhiều mẫu router Tenda. Lỗ hổng mang mã định danh CVE-2026-11405 này thực chất là một cửa hậu xác thực chưa từng được công bố. Nó giúp kẻ gian bỏ qua quá trình đăng nhập thông thường và truy cập thẳng vào giao diện quản lý của thiết bị mà không cần thông tin hợp lệ.
Như hầu hết các thiết bị tiêu dùng khác, sản phẩm mạng của Tenda cung cấp một giao diện quản lý trên nền web được bảo vệ bằng mật khẩu. Đây là nơi người dùng thiết lập kết nối Wi-Fi, tường lửa, máy chủ DNS và nhiều tính năng cốt lõi. Lỗ hổng mới phát hiện nằm ngay bên trong máy chủ web tích hợp của thiết bị.
Theo báo cáo, phần mềm của thiết bị ban đầu vẫn thực hiện xác thực mật khẩu quản trị viên bằng quy trình kiểm tra tiêu chuẩn. Tuy nhiên, nếu bước này thất bại, hệ thống sẽ âm thầm kích hoạt một đoạn mã ẩn thay vì từ chối đăng nhập ngay lập tức. Lúc này, phần mềm sẽ trích xuất một mật khẩu nội bộ được cất giấu sẵn và so sánh trực tiếp với chuỗi ký tự mà người dùng vừa nhập.
Nếu hai chuỗi mật khẩu này khớp nhau, hệ thống ngay lập tức tạo ra một phiên làm việc hợp lệ với đầy đủ quyền quản trị cao nhất. Đáng quan ngại hơn, tên đăng nhập đi kèm không hề bị kiểm tra. Cơ chế này đồng nghĩa với việc tin tặc có thể nhập bất kỳ tên tài khoản nào, miễn là chúng nắm được mật khẩu ẩn bên trong để toàn quyền điều khiển mạng lưới.
Hiện tại, báo cáo ghi nhận năm phiên bản phần mềm bị ảnh hưởng thuộc các dòng máy FH1201, W15E, AC10, AC5 và AC6. Tuy nhiên, danh sách này có thể chưa đầy đủ vì phía nhà sản xuất vẫn chưa đưa ra xác nhận chính thức về quy mô sự cố. Nếu khai thác thành công, kẻ tấn công có thể thay đổi cài đặt mạng, chuyển hướng lưu lượng truy cập internet hoặc vô hiệu hóa các lớp bảo vệ an ninh của toàn bộ hệ thống.
Điều khiến giới chuyên gia bức xúc là việc hãng công nghệ Trung Quốc hoàn toàn giữ im lặng. Hiện vẫn chưa có bất kỳ bản vá lỗi nào được phát hành, dù tổ chức CERT/CC đã chủ động liên hệ cảnh báo. Vẫn chưa rõ đoạn mã xác thực thứ hai này được cố tình cài cắm hay chỉ là một tính năng thử nghiệm bị bỏ quên trong quá trình lập trình.
Việc một thiết bị viễn thông bán rộng rãi lại chứa cửa hậu quản trị viên chính là ví dụ điển hình cho rủi ro chuỗi cung ứng mà các cơ quan quản lý đang nỗ lực ngăn chặn. Trong thời gian chờ đợi nhà sản xuất khắc phục lỗi trên các mẫu router Tenda, giới chuyên môn khuyến cáo người dùng nên vô hiệu hóa tính năng quản lý web từ xa. Ngoài ra, việc thay đổi địa chỉ IP cục bộ mặc định cũng là một biện pháp tạm thời để giảm thiểu rủi ro bị quét tự động trên diện rộng.



