CERT/CC พบ "Backdoor" ในเราเตอร์ Tenda หลายรุ่น ชี้เป็นการออกแบบโดยเจตนา เตือนผู้ใช้รีบปิด Remote Management
ศูนย์ประสานงานด้านความปลอดภัย CERT Coordination Center (CERT/CC) ภายใต้ สถาบันวิศวกรรมซอฟต์แวร์ มหาวิทยาลัย Carnegie Mellon ของสหรัฐฯ ได้เผยแพร่ประกาศด้านความปลอดภัยเมื่อวันที่ 6 กรกฎาคม 2026 เปิดเผยว่า เราเตอร์ภายในบ้านหลายรุ่นของ Tenda ผู้ผลิตอุปกรณ์เครือข่ายจากจีน พบช่องโหว่ร้ายแรงหมายเลข CVE-2026-11405 ซึ่งเป็น Backdoor สำหรับยืนยันตัวตน (Authentication Backdoor) ที่ถูกฝังไว้ในเฟิร์มแวร์ และไม่สามารถปิดการทำงานได้
CERT/CC ระบุว่า กลไกดังกล่าว ไม่ได้เกิดจากข้อผิดพลาดของโปรแกรม (Bug) แต่เป็น การออกแบบโดยเจตนา (Design Choice) พร้อมเผยว่าหลังแจ้งผู้ผลิตไปนานกว่า 7 สัปดาห์ ก็ยังไม่ได้รับการตอบกลับ และยังไม่มีแพตช์แก้ไขออกมา
ใช้รหัสลับที่ซ่อนไว้ในเฟิร์มแวร์
จากการวิเคราะห์ของ CERT/CC พบว่า Backdoor ถูกซ่อนอยู่ภายในฟังก์ชัน login() ของ Web Server ในเฟิร์มแวร์เราเตอร์
ตามปกติ ระบบจะตรวจสอบรหัสผ่านของผู้ดูแลผ่านการเปรียบเทียบค่า MD5 แต่หากการตรวจสอบล้มเหลว เฟิร์มแวร์จะดำเนินการตรวจสอบต่อด้วยรหัสผ่านสำรองที่ถูกฝังไว้ภายในระบบในตัวแปร
sys.rzadmin.password
จากนั้นจะนำค่าที่ผู้ใช้กรอกมาเปรียบเทียบแบบ Plaintext กับรหัสผ่านลับดังกล่าว
หากตรงกัน ระบบจะมอบสิทธิ์ ผู้ดูแลระบบ (Administrator) ทันที โดยไม่สนใจว่าชื่อผู้ใช้ที่กรอกจะเป็นอะไร
CERT/CC ระบุว่า ผู้ใช้งานทั่วไปไม่สามารถมองเห็นหรือปิดการทำงานของกลไกนี้ผ่านหน้าจัดการของเราเตอร์ได้
CERT/CC ชี้เป็น Backdoor ที่สร้างขึ้นโดยตั้งใจ
CERT/CC ระบุอย่างชัดเจนว่า ลักษณะของโค้ดดังกล่าวไม่ใช่ความผิดพลาดจากการพัฒนา แต่เป็นการเพิ่ม "รหัสผ่านสำรอง" เข้าไปในระบบโดยตั้งใจ ซึ่งถือเป็นการสร้างช่องทางเลี่ยงระบบยืนยันตัวตน
หน่วยงานด้านความปลอดภัยระบุว่า การออกแบบลักษณะนี้จะไม่ผ่านข้อกำหนดด้านความปลอดภัยของหลายประเทศ โดยเฉพาะมาตรฐานของสหภาพยุโรปที่ให้ความสำคัญกับการป้องกัน Backdoor ภายในอุปกรณ์เครือข่าย
แจ้งผู้ผลิตแล้ว แต่ไร้การตอบกลับ
CERT/CC เปิดเผยว่า ได้แจ้งรายละเอียดช่องโหว่ให้ Tenda อย่างเป็นทางการตั้งแต่วันที่ 19 พฤษภาคม 2026
อย่างไรก็ตาม จนถึงวันที่เผยแพร่ข้อมูลต่อสาธารณะ เวลาผ่านไปกว่า 7 สัปดาห์ บริษัทก็ยังไม่มีการตอบกลับหรือออกแพตช์แก้ไข
CERT/CC ระบุว่า การไม่มีช่องทางตอบรับด้านความปลอดภัยอาจขัดต่อข้อกำหนดของ Cyber Resilience Act (CRA) ของสหภาพยุโรป ซึ่งกำหนดให้ผู้ผลิตอุปกรณ์ต้องมีช่องทางรับแจ้งช่องโหว่จากนักวิจัยด้านความปลอดภัย
CRA เตรียมบังคับใช้เต็มรูปแบบ
สหภาพยุโรปเตรียมบังคับใช้ข้อกำหนดบางส่วนของ Cyber Resilience Act (CRA) ในวันที่ 11 กันยายน 2026
ภายใต้กฎหมายดังกล่าว หากผู้ผลิตพบว่าผลิตภัณฑ์มีช่องโหว่ที่กำลังถูกโจมตีจริง จะต้องรายงานต่อ ENISA (European Union Agency for Cybersecurity) ภายใน 24 ชั่วโมง
หากผู้ผลิตไม่ปฏิบัติตามข้อกำหนด อาจส่งผลต่อการจำหน่ายผลิตภัณฑ์ในตลาดยุโรปในอนาคต
คำแนะนำสำหรับผู้ใช้
เนื่องจากปัจจุบันยังไม่มีเฟิร์มแวร์เวอร์ชันแก้ไข CERT/CC จึงแนะนำให้ผู้ใช้ที่อาจได้รับผลกระทบดำเนินการดังต่อไปนี้
- ปิดฟังก์ชัน Remote Web Management หรือการจัดการเราเตอร์จากภายนอกอินเทอร์เน็ต
- เปลี่ยนค่า LAN IP Address ที่เป็นค่าเริ่มต้น เพื่อลดความเสี่ยงจากการโจมตีอัตโนมัติ
- ติดตามการอัปเดตเฟิร์มแวร์จากผู้ผลิตอย่างใกล้ชิด และติดตั้งทันทีเมื่อมีแพตช์ออกมา
สำหรับผู้ใช้งานในองค์กรหรือผู้ที่เปิดใช้งานการจัดการเราเตอร์จากภายนอก ควรตรวจสอบอุปกรณ์ที่ใช้งานว่ามีรุ่นที่ได้รับผลกระทบหรือไม่ และพิจารณาปิดการเข้าถึงจากอินเทอร์เน็ตจนกว่าจะมีการแก้ไขอย่างเป็นทางการ
ที่มา: HKEPC



