Pintu belakang tersembunyi di router Tenda tidak ditambal karena perusahaan mengabaikan peringatan dari
Pusat Koordinasi CERT (CERT/CC), sebuah kelompok keamanan siber yang didukung pemerintah AS di Institut Rekayasa Perangkat Lunak Universitas Carnegie Mellon, mengungkapkan kelemahan firmware pada tanggal 6 Juli yang…
Sumber: tomshardware. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan komponen dan performa PC. Pusat Koordinasi CERT (CERT/CC), sebuah kelompok keamanan siber yang didukung pemerintah AS di Institut Rekayasa Perangkat Lunak Universitas Carnegie Mellon, mengungkapkan…
Pusat Koordinasi CERT (CERT/CC), sebuah kelompok keamanan siber yang didukung pemerintah AS di Institut Rekayasa Perangkat Lunak Universitas Carnegie Mellon, mengungkapkan kelemahan firmware pada tanggal 6 Juli yang dapat memberikan kendali administratif penuh kepada penyerang atas beberapa perangkat jaringan Tenda. Kerentanannya, yang dilacak sebagai CVE-2026-11405, adalah pintu belakang autentikasi tidak terdokumentasi di firmware model yang terpengaruh yang melewati proses login normal dan memberikan akses ke antarmuka manajemen web perangkat tanpa kredensial yang valid. Yang memperparah risiko ini adalah saat ini tidak ada patch keamanan yang tersedia, karena Tenda – merek jaringan berbiaya rendah yang berbasis di Shenzhen dan memiliki kehadiran besar di India dan pasar lainnya – belum memberikan respons meskipun CERT/CC telah berupaya mengatasi masalah ini.
CERT/CC mencantumkan lima versi firmware yang terpengaruh yang mencakup keluarga router FH1201, W15E, AC10, AC5, dan AC6. Badan penasihat tersebut, yang memberikan penghargaan kepada peneliti anonim atas temuannya, tidak menggambarkan daftar ini sebagai daftar yang lengkap. Daftar ini hanya mencakup bangunan spesifik yang dilaporkan peneliti ke CERT/CC, karena tidak ada cakupan yang dikonfirmasi oleh vendor. Menurut saran tersebut, kelemahannya berada di dalam server web bawaan router, di mana rutinitas otentikasi yang tidak terdokumentasi memungkinkan akses administratif tanpa memerlukan kredensial administrator yang dikonfigurasi.
Seperti kebanyakan router konsumen, perangkat Tenda menyediakan antarmuka manajemen web yang dilindungi kata sandi untuk mengonfigurasi pengaturan Wi-Fi, aturan firewall, server DNS, pembaruan firmware, penerusan porta, kontrol orang tua, dan fitur jaringan inti lainnya. Karena antarmuka ini mengendalikan sebagian besar aspek operasi router, mereka biasanya dilindungi oleh mekanisme otentikasi yang dirancang untuk mencegah pengguna yang tidak berwenang melakukan perubahan yang dapat membahayakan seluruh jaringan rumah atau bisnis.
Jika kata sandi yang diberikan cocok dengan nilai tersembunyi ini, firmware segera membuat sesi administrator yang valid dengan hak penuh. Yang lebih memprihatinkan lagi, nama pengguna yang terkait tidak pernah divalidasi, artinya nama pengguna apa pun dapat digunakan selama kata sandi tersembunyi diberikan. Akibatnya, mekanisme tersebut secara efektif mengabaikan akun administrator router yang dikonfigurasikan sama sekali.
Meskipun CERT/CC tidak mengungkapkan kata sandi tersembunyi itu sendiri, keberadaan jalur otentikasi sekunder yang tidak terdokumentasi secara signifikan melemahkan model keamanan perangkat yang terkena dampak. Tidak seperti kerentanan otentikasi konvensional yang berasal dari kesalahan implementasi, ini adalah jalur login terpisah dan bukan cacat yang sudah ada, memberikan akses administratif melalui kredensial yang tidak didokumentasikan atau diekspos melalui antarmuka manajemen router. Apakah jalur tersebut sengaja ditempatkan di sana atau ditinggalkan sebagai fitur pengembangan yang terlupakan, masih belum jelas. CERT/CC tidak menarik kesimpulan mengenai niatnya, dan diamnya Tenda tidak menyelesaikan apa pun.
Pengungkapan ini sejalan dengan kekhawatiran yang disampaikan oleh Komisi Komunikasi Federal (FCC) ketika mereka menambahkan produk-produk jaringan buatan luar negeri tertentu ke Daftar Tercakup pada bulan Maret, sehingga mencegah model-model baru menerima otorisasi yang diperlukan untuk impor dan penjualan di AS. FCC berargumen bahwa router konsumen yang disusupi dapat memberi penyerang akses ke jaringan rumah dan bisnis kecil. Pintu belakang administrator yang tidak terdokumentasi pada peralatan jaringan yang dijual secara luas – dikombinasikan dengan tidak adanya patch atau respons vendor – menggambarkan jenis risiko keamanan rantai pasokan yang ingin diatasi oleh regulator.
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan komponen dan performa PC dan alasan mengapa topik ini tetap relevan untuk terus dipantau.