Tenda 펌웨어 여러 버전에 숨겨진 인증 백도어 발견
4 hours ago
2
- 일부 Tenda 네트워크 장비 펌웨어에 문서화되지 않은 인증 백도어가 있어, 유효한 자격 증명 없이 웹 관리 인터페이스의 관리자 권한을 얻을 수 있음
- CVE-2026-11405는 일반 비밀번호 검증 실패 뒤 sys.rzadmin.password 값을 대체 비밀번호처럼 확인하는 흐름으로 동작함
- 입력 비밀번호가 설정값과 일치하면 사용자명 검증 없이 role=2 관리자 세션이 만들어져 인증 우회로 이어짐
- 영향 범위는 FH1201, W15E, AC10, AC5, AC6 계열의 특정 펌웨어 버전이며, 악용 시 장치 재구성·네트워크 설정 변경·보안 기능 비활성화가 가능함
- 패치가 없는 상태라 노출을 줄이려면 원격 웹 관리 비활성화와 기본 LAN IP 변경 같은 제한적 완화책에 의존해야 함
인증 백도어의 동작 방식과 위험
- Tenda는 라우터, 스위치, 무선 액세스 포인트, 영상 감시 장비 등 가정·기업용 네트워크 장비를 공급함
- 이들 장비 다수는 설정과 관리를 위해 웹 기반 인터페이스를 제공하며, 일반적으로 사용자명과 비밀번호로 보호됨
- 취약한 펌웨어의 /bin/httpd 바이너리에는 login() 함수 안에 문서화되지 않은 백도어 인증 메커니즘이 들어 있음
- 먼저 정상 인증 경로에서 MD5 기반 비밀번호 검증을 수행함
- 인증이 실패하면 GetValue("sys.rzadmin.password")를 호출해 장치 설정의 대체 비밀번호 값을 가져옴
- 이후 사용자 입력 비밀번호와 설정 저장값을 평문 strcmp()로 직접 비교함
- 값이 일치하면 role=2 관리자 권한을 부여하고 유효한 세션을 생성함
- 이 경로에서는 사용자명 검증이 빠져 있음
- 어떤 사용자명을 입력해도 백도어 비밀번호와 함께 제출되면 인증에 성공함
- 해당 인증 메커니즘은 문서화되어 있지 않고 관리 인터페이스에도 표시되지 않음
- 악용에 성공하면 설정된 관리자 계정 자격 증명과 무관하게 장치 웹 인터페이스의 전체 관리자 접근 권한을 얻을 수 있음
- 장치 재구성 가능함
- 네트워크 설정 변경 가능함
- 보안 기능 비활성화 가능함
- 로컬 네트워크의 더 넓은 침해로 이어질 수 있음
영향받는 펌웨어와 현재 대응
- 영향을 받는 펌웨어 버전:
- US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
- US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
- US_AC10V1.0re_V15.03.06.46_multi_TDE01
- US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
- US_AC6V2.0RTL_V15.03.06.51_multi_T
- 공급업체와의 취약점 조율이 실패해 패치가 제공되지 않음
- 고정 버전이 나오기 전까지 가능한 완화책:
- 원격 관리 비활성화
- 장치가 원격 웹 관리를 지원하면 해당 기능을 비활성화해야 함
- 외부 네트워크의 공격자가 인터넷을 통해 장치 관리 대시보드에 접근하는 것을 막을 수 있음
- 로컬 네트워크 노출 제한
- 기본 LAN IP 주소를 변경하면 알려진 기본 IP 범위를 노리는 자동 스캐너의 기회주의적 발견을 줄일 수 있음
- 이 조치는 의도적이거나 표적화된 네트워크 스캔을 막지는 못함
- 관련 식별자와 참고 자료:
-
Homepage
-
Tech blog
- Tenda 펌웨어 여러 버전에 숨겨진 인증 백도어 발견