---
title: "Tenda 공유기 펌웨어 여러 버전에서 숨겨진 관리자 백도어 발견"
published: 2026-07-08T00:08:51.000Z
canonical: https://jeff.news/article/4814
---
# Tenda 공유기 펌웨어 여러 버전에서 숨겨진 관리자 백도어 발견

Tenda의 여러 공유기 펌웨어에서 문서화되지 않은 인증 백도어가 발견됐다. CVE-2026-11405로 추적되는 이 취약점은 정상 비밀번호 검증이 실패한 뒤 별도 설정값과 평문 비교를 수행해 관리자 세션을 만들어준다. 패치는 아직 없고, 원격 관리를 끄고 노출을 줄이는 식의 완화책만 제시된 상태다.

- Tenda 공유기 펌웨어 여러 버전에서 숨겨진 관리자 인증 백도어가 발견됨
  - 취약점은 CVE-2026-11405로 등록됐고, 장비의 웹 관리 인터페이스에서 비밀번호 검증을 우회할 수 있음
  - 성공하면 유효한 계정 정보 없이도 관리자 권한을 얻고, 네트워크 설정 변경이나 보안 기능 비활성화까지 가능함

- 영향을 받는 버전은 최소 5개로 공개됨
  - US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
  - US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
  - US_AC10V1.0re_V15.03.06.46_multi_TDE01
  - US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
  - US_AC6V2.0RTL_V15.03.06.51_multi_T

- 문제는 /bin/httpd 웹 서버 바이너리의 login() 함수 안에 있음
  - 처음에는 정상적인 MD5 기반 비밀번호 검증을 수행함
  - 그런데 인증이 실패하면 GetValue("sys.rzadmin.password")를 호출해서 장비 설정에 저장된 별도 비밀번호 값을 가져옴
  - 그 다음 사용자 입력 비밀번호와 이 값을 평문 strcmp()로 직접 비교하고, 맞으면 role=2 관리자 권한 세션을 만들어줌

> [!WARNING]
> 사용자 이름은 검증하지 않음. 즉 백도어 비밀번호만 맞으면 아무 사용자명으로도 관리자 로그인이 가능하다는 뜻임.

- 이 백도어는 관리자 화면에 보이지도 않고 문서화도 되어 있지 않음
  - 일반 관리자가 UI에서 확인하거나 끌 수 있는 기능이 아니라는 게 핵심임
  - 공격자는 이 경로를 통해 기존 관리자 계정 비밀번호와 무관하게 웹 관리 인터페이스에 접근할 수 있음

- 패치는 아직 없음
  - CERT/CC는 벤더와 취약점 조율을 시도했지만 연락이 닿지 않았다고 밝힘
  - 그래서 현재 제시된 건 해결책이 아니라 완화책뿐임

- 가장 먼저 할 일은 원격 웹 관리를 끄는 것임
  - 장비가 인터넷에서 관리자 대시보드에 접근 가능하게 열려 있다면 위험도가 확 올라감
  - 원격 관리 기능을 끄면 외부 공격자가 인터넷을 통해 바로 관리 화면을 두드리는 경로를 줄일 수 있음

- 로컬 네트워크 노출도 줄이는 게 좋음
  - 기본 LAN IP 주소를 바꾸면 알려진 기본 대역을 노리는 자동 스캐너를 일부 피할 수 있음
  - 다만 이건 어디까지나 기회주의적 탐지를 줄이는 수준이고, 작정하고 내부망을 스캔하는 공격자를 막지는 못함

- 한국 개발자나 인프라 담당자 입장에서는 “집 공유기 문제”로만 넘기기 애매함
  - Tenda는 가정용뿐 아니라 소규모 사업장 네트워크 장비도 공급하는 회사라, 사무실이나 매장 네트워크에 숨어 있을 수 있음
  - VPN, NAS, CCTV, 내부 개발 장비가 같은 네트워크에 붙어 있다면 공유기 관리자 탈취가 곧 내부망 장악의 출발점이 될 수 있음

---

## 기술 맥락

- 이번 취약점이 위험한 이유는 인증 로직이 “실패하면 끝”이 아니라 “실패한 뒤 다른 비밀번호를 한 번 더 본다”는 구조라서예요. 정상 관리자 비밀번호를 몰라도, 숨겨진 설정값과 입력값이 맞으면 관리자 세션이 만들어지거든요.

- 더 찝찝한 부분은 사용자 이름을 검증하지 않는다는 점이에요. 인증 시스템은 보통 사용자 식별과 비밀번호 검증이 함께 가야 하는데, 여기서는 백도어 비밀번호만 맞으면 role=2 관리자 권한을 바로 주는 흐름이라 공격 표면이 단순해져요.

- 패치가 없을 때 원격 관리를 끄라는 조언이 나오는 이유도 명확해요. 취약한 웹 관리 인터페이스가 인터넷에 노출돼 있으면 공격자는 내부망에 들어오지 않아도 바로 시도할 수 있어요. 일단 외부 접근을 닫아야 공격 가능 경로가 줄어들어요.

- 기본 LAN IP 변경은 보조책에 가까워요. 자동화된 스캐너가 흔한 기본 대역을 먼저 훑는 경우를 피하는 정도라서, 내부망에 이미 들어온 공격자나 표적 스캔에는 큰 방어가 안 돼요. 그래서 핵심은 노출 차단과 장비 교체 또는 패치 확인이에요.

## 핵심 포인트

- Tenda 펌웨어의 /bin/httpd login() 함수에 숨겨진 백도어 인증 경로가 존재함
- 정상 인증 실패 후 sys.rzadmin.password 값을 가져와 사용자 입력 비밀번호와 평문 strcmp() 비교를 수행함
- 사용자 이름 검증이 없어 백도어 비밀번호만 맞으면 임의 사용자명으로 관리자 권한을 얻을 수 있음
- 벤더와 조율이 되지 않아 패치는 없고, 원격 관리 비활성화가 핵심 완화책임

## 인사이트

이건 단순한 취약점보다 더 찝찝한 케이스다. 라우터 웹 관리 인터페이스에 문서화되지 않은 관리자 우회 경로가 들어가 있고, 패치도 없는 상태라서 인터넷에 노출된 장비라면 바로 점검 대상이다.
