본문으로 건너뛰기
피드

Tenda 공유기 펌웨어 여러 버전에서 숨겨진 관리자 백도어 발견

security 약 5분
vote
0
댓글
북마크

Tenda의 여러 공유기 펌웨어에서 문서화되지 않은 인증 백도어가 발견됐다. CVE-2026-11405로 추적되는 이 취약점은 정상 비밀번호 검증이 실패한 뒤 별도 설정값과 평문 비교를 수행해 관리자 세션을 만들어준다. 패치는 아직 없고, 원격 관리를 끄고 노출을 줄이는 식의 완화책만 제시된 상태다.

  • 1

    Tenda 펌웨어의 /bin/httpd login() 함수에 숨겨진 백도어 인증 경로가 존재함

  • 2

    정상 인증 실패 후 sys.rzadmin.password 값을 가져와 사용자 입력 비밀번호와 평문 strcmp() 비교를 수행함

  • 3

    사용자 이름 검증이 없어 백도어 비밀번호만 맞으면 임의 사용자명으로 관리자 권한을 얻을 수 있음

  • 4

    벤더와 조율이 되지 않아 패치는 없고, 원격 관리 비활성화가 핵심 완화책임

  • Tenda 공유기 펌웨어 여러 버전에서 숨겨진 관리자 인증 백도어가 발견됨

    • 취약점은 CVE-2026-11405로 등록됐고, 장비의 웹 관리 인터페이스에서 비밀번호 검증을 우회할 수 있음
    • 성공하면 유효한 계정 정보 없이도 관리자 권한을 얻고, 네트워크 설정 변경이나 보안 기능 비활성화까지 가능함
  • 영향을 받는 버전은 최소 5개로 공개됨

    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • 문제는 /bin/httpd 웹 서버 바이너리의 login() 함수 안에 있음

    • 처음에는 정상적인 MD5 기반 비밀번호 검증을 수행함
    • 그런데 인증이 실패하면 GetValue("sys.rzadmin.password")를 호출해서 장비 설정에 저장된 별도 비밀번호 값을 가져옴
    • 그 다음 사용자 입력 비밀번호와 이 값을 평문 strcmp()로 직접 비교하고, 맞으면 role=2 관리자 권한 세션을 만들어줌

⚠️주의

> 사용자 이름은 검증하지 않음. 즉 백도어 비밀번호만 맞으면 아무 사용자명으로도 관리자 로그인이 가능하다는 뜻임.

  • 이 백도어는 관리자 화면에 보이지도 않고 문서화도 되어 있지 않음

    • 일반 관리자가 UI에서 확인하거나 끌 수 있는 기능이 아니라는 게 핵심임
    • 공격자는 이 경로를 통해 기존 관리자 계정 비밀번호와 무관하게 웹 관리 인터페이스에 접근할 수 있음
  • 패치는 아직 없음

    • CERT/CC는 벤더와 취약점 조율을 시도했지만 연락이 닿지 않았다고 밝힘
    • 그래서 현재 제시된 건 해결책이 아니라 완화책뿐임
  • 가장 먼저 할 일은 원격 웹 관리를 끄는 것임

    • 장비가 인터넷에서 관리자 대시보드에 접근 가능하게 열려 있다면 위험도가 확 올라감
    • 원격 관리 기능을 끄면 외부 공격자가 인터넷을 통해 바로 관리 화면을 두드리는 경로를 줄일 수 있음
  • 로컬 네트워크 노출도 줄이는 게 좋음

    • 기본 LAN IP 주소를 바꾸면 알려진 기본 대역을 노리는 자동 스캐너를 일부 피할 수 있음
    • 다만 이건 어디까지나 기회주의적 탐지를 줄이는 수준이고, 작정하고 내부망을 스캔하는 공격자를 막지는 못함
  • 한국 개발자나 인프라 담당자 입장에서는 “집 공유기 문제”로만 넘기기 애매함

    • Tenda는 가정용뿐 아니라 소규모 사업장 네트워크 장비도 공급하는 회사라, 사무실이나 매장 네트워크에 숨어 있을 수 있음
    • VPN, NAS, CCTV, 내부 개발 장비가 같은 네트워크에 붙어 있다면 공유기 관리자 탈취가 곧 내부망 장악의 출발점이 될 수 있음

기술 맥락

  • 이번 취약점이 위험한 이유는 인증 로직이 “실패하면 끝”이 아니라 “실패한 뒤 다른 비밀번호를 한 번 더 본다”는 구조라서예요. 정상 관리자 비밀번호를 몰라도, 숨겨진 설정값과 입력값이 맞으면 관리자 세션이 만들어지거든요.

  • 더 찝찝한 부분은 사용자 이름을 검증하지 않는다는 점이에요. 인증 시스템은 보통 사용자 식별과 비밀번호 검증이 함께 가야 하는데, 여기서는 백도어 비밀번호만 맞으면 role=2 관리자 권한을 바로 주는 흐름이라 공격 표면이 단순해져요.

  • 패치가 없을 때 원격 관리를 끄라는 조언이 나오는 이유도 명확해요. 취약한 웹 관리 인터페이스가 인터넷에 노출돼 있으면 공격자는 내부망에 들어오지 않아도 바로 시도할 수 있어요. 일단 외부 접근을 닫아야 공격 가능 경로가 줄어들어요.

  • 기본 LAN IP 변경은 보조책에 가까워요. 자동화된 스캐너가 흔한 기본 대역을 먼저 훑는 경우를 피하는 정도라서, 내부망에 이미 들어온 공격자나 표적 스캔에는 큰 방어가 안 돼요. 그래서 핵심은 노출 차단과 장비 교체 또는 패치 확인이에요.

이건 단순한 취약점보다 더 찝찝한 케이스다. 라우터 웹 관리 인터페이스에 문서화되지 않은 관리자 우회 경로가 들어가 있고, 패치도 없는 상태라서 인터넷에 노출된 장비라면 바로 점검 대상이다.

댓글

댓글

댓글을 불러오는 중...

security

GS네오텍, 공격 경로까지 보여주는 클라우드 보안 플랫폼 ‘시큐리티 렌즈’ 출시

GS네오텍이 국내 기업 환경을 겨냥한 클라우드 보안 통합 플랫폼 ‘시큐리티 렌즈’를 출시했다. ISMS-P와 정보보호 공시 대응, 공격 경로 시각화, 보안 특화 AI 에이전트 ‘네오봇’을 앞세워 외산 보안 도구의 번역·재해석 부담을 줄이겠다는 방향이다.

security

크립토랩 ‘인벡터’, 암호화한 채 벡터 검색하는 AI 보안 솔루션으로 구글 클라우드 마켓플레이스 입점

크립토랩의 동형암호 기반 실시간 벡터 검색 엔진 ‘인벡터’가 구글 클라우드 마켓플레이스에 입점했다. 생성형 AI와 RAG에서 민감 데이터를 벡터 검색에 활용할 때, 데이터를 복호화하지 않고도 유사도 계산과 검색을 수행하는 보안 접근이 핵심이다.

security

깃허브 AI 에이전트, 공개 이슈 하나로 비공개 저장소 내용을 흘릴 수 있었다

노마 랩스가 깃허브의 Agentic Workflows에서 간접 프롬프트 인젝션 취약점인 GitLost를 발견했다. 공격자는 같은 조직의 공개 저장소에 조작된 이슈를 올리는 것만으로 AI 에이전트가 비공개 저장소의 README 내용을 공개 댓글로 남기게 만들 수 있었다.

security

비트컴퓨터 클라우드 전자의무기록 ‘클레머’, 국가 인증 획득

비트컴퓨터의 클라우드 전자의무기록 시스템 클레머가 보건복지부와 한국보건의료정보원이 운영하는 국가 전자의무기록시스템 인증을 받았다. 기능성, 상호운용성, 보안성 3개 부문의 필수 기준을 통과했고, 특히 클라우드 외부보관 보안 항목까지 충족했다.

security

동형암호 벡터 검색 엔진 ‘인벡터’, 구글클라우드 마켓플레이스 입점

크립토랩의 동형암호 기반 실시간 벡터 검색 엔진 인벡터가 구글클라우드 마켓플레이스에 입점했다. 생성형 AI와 검색증강생성 환경에서 민감 데이터를 암호화한 채 벡터 유사도 검색을 수행하는 게 핵심이다.