Tenda 펌웨어 여러 버전에 숨겨진 인증 백도어 발견

4 hours ago 2
  • 일부 Tenda 네트워크 장비 펌웨어에 문서화되지 않은 인증 백도어가 있어, 유효한 자격 증명 없이 웹 관리 인터페이스의 관리자 권한을 얻을 수 있음
  • CVE-2026-11405는 일반 비밀번호 검증 실패 뒤 sys.rzadmin.password 값을 대체 비밀번호처럼 확인하는 흐름으로 동작함
  • 입력 비밀번호가 설정값과 일치하면 사용자명 검증 없이 role=2 관리자 세션이 만들어져 인증 우회로 이어짐
  • 영향 범위는 FH1201, W15E, AC10, AC5, AC6 계열의 특정 펌웨어 버전이며, 악용 시 장치 재구성·네트워크 설정 변경·보안 기능 비활성화가 가능함
  • 패치가 없는 상태라 노출을 줄이려면 원격 웹 관리 비활성화와 기본 LAN IP 변경 같은 제한적 완화책에 의존해야 함

인증 백도어의 동작 방식과 위험

  • Tenda는 라우터, 스위치, 무선 액세스 포인트, 영상 감시 장비 등 가정·기업용 네트워크 장비를 공급함
  • 이들 장비 다수는 설정과 관리를 위해 웹 기반 인터페이스를 제공하며, 일반적으로 사용자명과 비밀번호로 보호됨
  • 취약한 펌웨어의 /bin/httpd 바이너리에는 login() 함수 안에 문서화되지 않은 백도어 인증 메커니즘이 들어 있음
    • 먼저 정상 인증 경로에서 MD5 기반 비밀번호 검증을 수행함
    • 인증이 실패하면 GetValue("sys.rzadmin.password")를 호출해 장치 설정의 대체 비밀번호 값을 가져옴
    • 이후 사용자 입력 비밀번호와 설정 저장값을 평문 strcmp()로 직접 비교함
    • 값이 일치하면 role=2 관리자 권한을 부여하고 유효한 세션을 생성함
  • 이 경로에서는 사용자명 검증이 빠져 있음
    • 어떤 사용자명을 입력해도 백도어 비밀번호와 함께 제출되면 인증에 성공함
    • 해당 인증 메커니즘은 문서화되어 있지 않고 관리 인터페이스에도 표시되지 않음
  • 악용에 성공하면 설정된 관리자 계정 자격 증명과 무관하게 장치 웹 인터페이스의 전체 관리자 접근 권한을 얻을 수 있음
    • 장치 재구성 가능함
    • 네트워크 설정 변경 가능함
    • 보안 기능 비활성화 가능함
    • 로컬 네트워크의 더 넓은 침해로 이어질 수 있음

영향받는 펌웨어와 현재 대응

  • 영향을 받는 펌웨어 버전:
    • US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
    • US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
    • US_AC10V1.0re_V15.03.06.46_multi_TDE01
    • US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
    • US_AC6V2.0RTL_V15.03.06.51_multi_T
  • 공급업체와의 취약점 조율이 실패해 패치가 제공되지 않음
  • 고정 버전이 나오기 전까지 가능한 완화책:
    • 원격 관리 비활성화
      • 장치가 원격 웹 관리를 지원하면 해당 기능을 비활성화해야 함
      • 외부 네트워크의 공격자가 인터넷을 통해 장치 관리 대시보드에 접근하는 것을 막을 수 있음
    • 로컬 네트워크 노출 제한
      • 기본 LAN IP 주소를 변경하면 알려진 기본 IP 범위를 노리는 자동 스캐너의 기회주의적 발견을 줄일 수 있음
      • 이 조치는 의도적이거나 표적화된 네트워크 스캔을 막지는 못함
  • 관련 식별자와 참고 자료:
Read Entire Article