สรุปสั้น
ศูนย์ประสานงานความมั่นคงไซเบอร์ CERT Coordination Center (CERT/CC) ออกประกาศเตือนเมื่อวันจันทร์ว่า เฟิร์มแวร์หลายเวอร์ชันของบริษัท Tenda ผู้ผลิตอุปกรณ์เครือข่ายสัญชาติจีน ถูกฝัง “แบ็กดอร์” (ช่องทางลับ) สำหรับยืนยันตัวตนที่ไม่มีการบันทึกไว้ในเอกสารใด ๆ ซึ่งเปิดให้เข้าถึงหน้าจัดการผ่านเว็บของอุปกรณ์ในระดับผู้ดูแลระบบได้ทันที ช่องโหว่นี้ถูกกำหนดรหัสเป็น CVE-2026-11405 และเปิดทางให้ผู้โจมตีข้ามขั้นตอนตรวจสอบรหัสผ่านปกติ แล้วได้สิทธิ์ควบคุมอุปกรณ์อย่างสมบูรณ์โดยไม่ต้องมีบัญชีหรือรหัสผ่านที่ถูกต้องเลย
จุดที่อันตรายคือกลไกแบ็กดอร์นี้ฝังอยู่ในฟังก์ชัน login() ของไบนารีเว็บเซิร์ฟเวอร์ /bin/httpd โดยเริ่มต้นจะทำงานตามเส้นทางยืนยันตัวตนปกติที่ใช้การเทียบรหัสผ่านแบบ MD5 แต่หากการยืนยันล้มเหลว โปรแกรมจะสลับไปทำงานอีกเส้นทางหนึ่งที่ดึงรหัสผ่านสำรองจากค่าตั้งของอุปกรณ์ผ่านคำสั่ง GetValue(“sys.rzadmin.password”) มาเปรียบเทียบกับรหัสที่ผู้ใช้กรอกแบบข้อความล้วน หากตรงกันจะให้สิทธิ์ระดับผู้ดูแล (role=2) และสร้างเซสชันที่มีสิทธิ์สูงทันที ที่สำคัญคือระบบไม่ตรวจสอบชื่อผู้ใช้ที่คู่กับรหัสลับนี้เลย ทำให้ผู้โจมตีกรอกชื่อผู้ใช้อะไรก็ผ่าน ช่องโหว่นี้ถูกรายงานโดยนักวิจัยนิรนามและยังไม่มีแพตช์แก้ไข ณ เวลาที่รายงาน
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 7 กรกฎาคม 2569 ว่า CERT/CC ได้ออกประกาศเตือนถึงช่องโหว่ CVE-2026-11405 ซึ่งเป็นแบ็กดอร์ยืนยันตัวตนที่ซ่อนอยู่ในเฟิร์มแวร์เราเตอร์ของบริษัท Tenda โดยระบุว่าผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อข้ามกระบวนการตรวจสอบรหัสผ่านและได้สิทธิ์ควบคุมอุปกรณ์ระดับผู้ดูแลอย่างสมบูรณ์โดยไม่ต้องมีข้อมูลรับรองที่ถูกต้อง
CERT/CC ระบุว่าช่องโหว่นี้กระทบเฟิร์มแวร์หลายเวอร์ชัน ได้แก่ US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD, US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE, US_AC10V1.0re_V15.03.06.46_multi_TDE01, US_AC5V1.0RTL_V15.03.06.48_multi_TDE01 และ US_AC6V2.0RTL_V15.03.06.51_multi_T ซึ่งครอบคลุมเราเตอร์รุ่นยอดนิยมหลายรุ่นที่ใช้งานตามบ้านและสำนักงานขนาดเล็ก
กลไกแบ็กดอร์ทำงานอยู่ภายในฟังก์ชัน login() ของไบนารี /bin/httpd โดย CERT/CC อธิบายว่าเมื่อการยืนยันตัวตนตามปกติล้มเหลว โค้ดจะเรียกใช้เส้นทางสำรองที่ดึงค่ารหัสผ่านลับ sys.rzadmin.password จากค่าตั้งของอุปกรณ์มาเทียบกับรหัสที่ผู้ใช้กรอกแบบข้อความล้วน หากตรงกันจะมอบสิทธิ์ระดับผู้ดูแล (role=2) และสร้างเซสชันสิทธิ์สูงให้ทันที โดยชื่อผู้ใช้ “rzadmin” ที่คู่กันนั้นไม่ถูกตรวจสอบ ทำให้กรอกชื่อผู้ใช้ใดก็ผ่านได้หากใช้คู่กับรหัสผ่านแบ็กดอร์นี้ ซึ่ง CERT/CC ย้ำว่ากลไกนี้ไม่ปรากฏหรือมองเห็นได้ผ่านหน้าจัดการใด ๆ
รายละเอียดช่องโหว่
ช่องโหว่ CVE-2026-11405 จัดเป็นแบ็กดอร์ยืนยันตัวตน (authentication backdoor) ที่ถูกฝังไว้ในตัวเฟิร์มแวร์เอง ไม่ใช่บั๊กที่เกิดจากความผิดพลาดในการเขียนโค้ดทั่วไป ลักษณะการทำงานคือ login() จะพยายามยืนยันตัวตนด้วยการเทียบค่าแฮช MD5 ของรหัสผ่านก่อน หากไม่ผ่านจึงเข้าสู่เส้นทางลับที่เทียบกับรหัสผ่านสำรอง sys.rzadmin.password แบบ plaintext comparison
เมื่อรหัสตรงกัน ระบบจะกำหนดสิทธิ์ role=2 ซึ่งเทียบเท่าผู้ดูแลระบบเต็มรูปแบบ และเนื่องจากชื่อผู้ใช้ไม่ถูกตรวจสอบ ผู้โจมตีจึงสามารถยืนยันตัวตนสำเร็จได้เพียงรู้รหัสผ่านแบ็กดอร์เพียงอย่างเดียว การเข้าถึงระดับนี้เปิดทางให้แก้ไขค่าตั้งจากระยะไกล ปิดฟีเจอร์ความปลอดภัย หรือปรับแต่งค่าอุปกรณ์ใหม่ ซึ่งอาจนำไปสู่การยึดครองอุปกรณ์ได้อย่างสมบูรณ์ (complete device takeover) และใช้เป็นจุดตั้งต้นโจมตีอุปกรณ์อื่นในเครือข่ายต่อไป
ผลกระทบต่อไทย
เราเตอร์ Tenda เป็นแบรนด์ราคาประหยัดที่มีจำหน่ายและใช้งานแพร่หลายในไทย ทั้งตามบ้าน ร้านค้า และสำนักงานขนาดเล็ก โดยเฉพาะรุ่นตระกูล AC ที่ถูกระบุในประกาศ หากอุปกรณ์เหล่านี้เปิดฟังก์ชันจัดการจากระยะไกล (remote management) ไว้ ผู้โจมตีจากอินเทอร์เน็ตอาจยึดอุปกรณ์ได้ทันทีโดยไม่ต้องเจาะรหัสผ่าน และเนื่องจากยังไม่มีแพตช์ ความเสี่ยงจึงยังคงเปิดอยู่ ผู้โจมตีที่ยึดเราเตอร์ได้สามารถดักจับทราฟฟิก เปลี่ยนเส้นทาง DNS เพื่อหลอกไปเว็บปลอม หรือใช้อุปกรณ์เป็นฐานในบอตเน็ตโจมตี DDoS ได้ ผู้ดูแลระบบและผู้ใช้ทั่วไปในไทยจึงควรตรวจสอบรุ่นเฟิร์มแวร์และปิดช่องทางเข้าถึงจากภายนอกโดยด่วน
คำแนะนำ
เนื่องจากยังไม่มีแพตช์แก้ไข ผู้ใช้และผู้ดูแลระบบควรดำเนินการลดความเสี่ยงตามที่ CERT/CC แนะนำ ได้แก่ ปิดฟังก์ชันจัดการจากระยะไกล (remote management) บนอุปกรณ์ทันที เพื่อไม่ให้เข้าถึงหน้าจัดการเว็บได้จากอินเทอร์เน็ต และเปลี่ยนค่า IP วงใน (LAN IP) เริ่มต้นของอุปกรณ์ให้ต่างจากค่าโรงงาน เพื่อลดโอกาสที่เครื่องสแกนอัตโนมัติซึ่งมุ่งเป้าช่วง IP มาตรฐานจะค้นพบอุปกรณ์ได้ นอกจากนี้ควรพิจารณาเปลี่ยนไปใช้อุปกรณ์รุ่นหรือยี่ห้อที่ยังได้รับการสนับสนุนด้านความปลอดภัยหากเป็นไปได้ และติดตามประกาศจากผู้ผลิตอย่างใกล้ชิดว่ามีแพตช์ออกมาหรือไม่
