# Tenda 펌웨어 여러 버전에 숨겨진 인증 백도어 발견

> Clean Markdown view of GeekNews topic #31274. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=31274](https://news.hada.io/topic?id=31274)
- GeekNews Markdown: [https://news.hada.io/topic/31274.md](https://news.hada.io/topic/31274.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-07-10T04:34:07+09:00
- Updated: 2026-07-10T04:34:07+09:00
- Original source: [kb.cert.org](https://kb.cert.org/vuls/id/213560)
- Points: 1
- Comments: 1

## Topic Body

- 일부 Tenda 네트워크 장비 펌웨어에 **문서화되지 않은 인증 백도어**가 있어, 유효한 자격 증명 없이 웹 관리 인터페이스의 관리자 권한을 얻을 수 있음
- **CVE-2026-11405**는 일반 비밀번호 검증 실패 뒤 `sys.rzadmin.password` 값을 대체 비밀번호처럼 확인하는 흐름으로 동작함
- 입력 비밀번호가 설정값과 일치하면 사용자명 검증 없이 **role=2 관리자 세션**이 만들어져 인증 우회로 이어짐
- 영향 범위는 FH1201, W15E, AC10, AC5, AC6 계열의 특정 펌웨어 버전이며, 악용 시 장치 재구성·네트워크 설정 변경·보안 기능 비활성화가 가능함
- 패치가 없는 상태라 노출을 줄이려면 **원격 웹 관리 비활성화**와 기본 LAN IP 변경 같은 제한적 완화책에 의존해야 함

---

### 인증 백도어의 동작 방식과 위험
- Tenda는 라우터, 스위치, 무선 액세스 포인트, 영상 감시 장비 등 가정·기업용 네트워크 장비를 공급함
- 이들 장비 다수는 설정과 관리를 위해 **웹 기반 인터페이스**를 제공하며, 일반적으로 사용자명과 비밀번호로 보호됨
- 취약한 펌웨어의 `/bin/httpd` 바이너리에는 `login()` 함수 안에 **문서화되지 않은 백도어 인증 메커니즘**이 들어 있음
  - 먼저 정상 인증 경로에서 MD5 기반 비밀번호 검증을 수행함
  - 인증이 실패하면 `GetValue("sys.rzadmin.password")`를 호출해 장치 설정의 대체 비밀번호 값을 가져옴
  - 이후 사용자 입력 비밀번호와 설정 저장값을 평문 `strcmp()`로 직접 비교함
  - 값이 일치하면 `role=2` 관리자 권한을 부여하고 유효한 세션을 생성함
- 이 경로에서는 **사용자명 검증이 빠져 있음**
  - 어떤 사용자명을 입력해도 백도어 비밀번호와 함께 제출되면 인증에 성공함
  - 해당 인증 메커니즘은 문서화되어 있지 않고 관리 인터페이스에도 표시되지 않음
- 악용에 성공하면 설정된 관리자 계정 자격 증명과 무관하게 장치 웹 인터페이스의 **전체 관리자 접근 권한**을 얻을 수 있음
  - 장치 재구성 가능함
  - 네트워크 설정 변경 가능함
  - 보안 기능 비활성화 가능함
  - 로컬 네트워크의 더 넓은 침해로 이어질 수 있음

### 영향받는 펌웨어와 현재 대응
- 영향을 받는 펌웨어 버전:
  - `US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD`
  - `US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE`
  - `US_AC10V1.0re_V15.03.06.46_multi_TDE01`
  - `US_AC5V1.0RTL_V15.03.06.48_multi_TDE01`
  - `US_AC6V2.0RTL_V15.03.06.51_multi_T`
- 공급업체와의 취약점 조율이 실패해 **패치가 제공되지 않음**
- 고정 버전이 나오기 전까지 가능한 완화책:
  - **원격 관리 비활성화**
    - 장치가 원격 웹 관리를 지원하면 해당 기능을 비활성화해야 함
    - 외부 네트워크의 공격자가 인터넷을 통해 장치 관리 대시보드에 접근하는 것을 막을 수 있음
  - **로컬 네트워크 노출 제한**
    - 기본 LAN IP 주소를 변경하면 알려진 기본 IP 범위를 노리는 자동 스캐너의 기회주의적 발견을 줄일 수 있음
    - 이 조치는 의도적이거나 표적화된 네트워크 스캔을 막지는 못함
- 관련 식별자와 참고 자료:
  - [CVE-2026-11405](https://www.cve.org/CVERecord?id=CVE-2026-11405)
  - [Tenda 다운로드 페이지](https://www.tendacn.com/download/)

## Comments



### Comment 61502

- Author: neo
- Created: 2026-07-10T04:34:09+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48825749) 
- 글에는 `sys.rzadmin.password` 값이 안 나오지만, 2022년 분석 글에는 공개돼 있음: [https://boschko.ca/tenda_ac1200_router/](<https://boschko.ca/tenda_ac1200_router/>)  
  스포일러: 값은 **rzadmin**이고, 펌웨어 안에는 그 밖에도 흥미로운 것들이 꽤 있어 보임
  - 이 정도면 **백도어**라기보다 대놓고 앞문이라고 불러도 될 듯함
  - 이쯤 되면 백도어도 아니고, 예전 이런 하드웨어에서 흔하던 **멍청한 기본 root 비밀번호** 설계에 가까움  
    백도어라면 최소한 좀 더 은밀하려고는 했을 것 같음 :)
  - 이렇게 허술하게 숨겨져 있다면 배포 전에 제거하는 걸 깜빡한 **개발자 편의 기능**처럼 보임
  - 마지막 통보 후 거의 4년이 지났는데도 비밀번호가 그대로라면, 정말 무능하거나 아니면 웃길 정도의 배짱임
  - `rz`가 독일어권에서 RechenZentrum, 즉 **데이터센터**의 흔한 약자라서 독일어처럼 읽힘  
    영어로 치면 `dcadmin` 같은 느낌임. “gute Deutsche Wertarbeit” 하는 쪽에 외주를 줬거나, 어떤 기관이 재미를 본 흔적이거나, 누군가의 연막일 수도 있겠다는 생각이 듦

- Tenda를 잘 몰랐는데, 홈/비즈니스용 라우터·스위치·무선 AP·영상 감시 장비 공급사라고 되어 있고 회사 소개는 [https://www.tendacn.com/us/profile](<https://www.tendacn.com/us/profile>)에 있음  
  중국 브랜드 중에는 같은 내부 부품에 외관만 바꾸거나 경쟁 브랜드처럼 리브랜딩하는 경우가 많아 Tenda도 그럴 수 있지 않나 싶음. 보안 카메라 쪽에서 그런 걸 본 적이 있음  
  글쓴이들이 펌웨어 버전 말고 **취약성 확인 방법**도 제공했으면 좋았겠음. Tenda가 비밀번호만 바꾸고 “이제 안전함”이라고 할 수도 있으니까
  - Tenda는 꽤 오래된 회사라 리브랜딩할 것 같지는 않음  
    10년쯤 전에 산 **전력선 이더넷 어댑터**가 아직 어딘가 찬장에 있음. 그때는 관리자 비밀번호가 `admin`인 게 표준에 가까웠고, 기기 자체에 인쇄해두는 경우도 많았음
  - Tenda는 **아시아에서 매우 흔한 브랜드**이고, 여러 ISP가 기본 라우터로 사용함
  - “중국 최초의 자체 개발 라우터 및 무선 네트워크 장비 제조사”라는 주장도 있음
  - 전 애인이 Tenda 영업부에서 일한 적이 있음. 그 전에도 Amazon의 저가 **비관리형 스위치** 맥락에서 본 적은 있음  
    국영기업 같은 곳은 아니라서 엄청 사악한 의도라기보다는, 품질에 정말 신경을 안 쓰는 쪽에 가까울 것 같음
  - 미국에 살고 있는데 Tenda **WiFi USB 동글**을 가지고 있음. 다른 브랜드만큼 유명하진 않아도 꽤 돌아다님

- “연결된 사용자 이름은 검증하지 않으므로, 어떤 사용자 이름이든 백도어 비밀번호와 함께 쓰면 성공한다”니 대단함  
  이런 제조사를 왜 고객이 믿어야 하는지 모르겠음. 이제는 벤더가 제공하는 **블랙박스 펌웨어**가 들어간 라우터는 절대 쓰지 않을 것 같음  
  사용 전에는 항상 OpenWRT 같은 걸 설치하겠고, 어떤 이유로든 그게 불가능하면 그런 장비는 구매할 생각조차 안 하겠음
  - 마지막으로 봤을 때 OpenWRT는 여러 기기에서 **MIMO와 빔포밍** 기능을 제대로 지원하지 못했음  
    아파트 단지처럼 무선망이 붐비고 혼잡한 곳에서는 커버리지, 신호 세기, 처리량을 확보하는 데 이 기능들이 중요함. OpenWRT 쪽에서 우회 방법을 찾았는지, 아니면 제조사들이 로드 가능한 펌웨어를 쓰는 공개 드라이버에 더 협조적으로 바뀌었는지 궁금함
  - 1Gbit를 넘겨 쓰는 경우가 있나? 이해한 게 맞다면 Mikrotik CCR2004 같은 괜찮고 저렴한 라우터도 완전 폐쇄형이라, 유일한 대안은 직접 허접한 박스를 만드는 것뿐임  
    그러면 전용 **스위치 칩**을 쓰는 장비보다 전력 효율이 훨씬 떨어질 수밖에 없음
  - 접근 방식은 좋지만, 애초에 보안이 라우터에 의존하면 안 됨. 라우터에서 오는 공격에도 견딜 수 있어야 함

- 네트워크 장비 회사들이 이렇게 일관되게 쓰레기를 만들어내는 게 놀라움  
  게다가 항상 아마추어 같은 백도어임. 차라리 정교했다면 “아마 어떤 보안 기관이 시켰겠지” 하고 넘어갈 여지라도 있었을 것 같음
  - 발견되는 백도어가 **아마추어 수준**인 것일 수도 있음  
    또는 일부러 발견되라고 아마추어 수준으로 넣어둔 것일 수도 있음
  - 슬픈 사실은 제대로 된 보안에 추가 비용을 내는 고객이 너무 적다는 것임. 비용을 내더라도 실제로 받을 수 있을지는 또 의문임
  - 실수로 쓰레기를 만든 게 아니라, 계획을 따르고 결정을 내린 결과로 보임

- 이건 오히려 반가움. Tenda의 큐브 라우터 몇 개가 있는데, 사실상 WiFi 중계기에 메시 기능을 조금 얹은 정도인데도 펌웨어가 앱에 너무 묶여 있어서 항상 싫었음  
  이제 **root 접근**으로 앱 우회를 훨씬 쉽게 할 수 있고, 초록불 표시를 위해 `microsoft.com`에 계속 DNS 질의를 날리는 핑 메커니즘도 꺼버릴 수 있겠음  
  솔직히 이건 악의적인 뉘앙스의 “백도어”라기보다는 펌웨어에 박혀버린 개발자 접근 자격 증명 또는 기본 자격 증명에 가까워 보임. 아마 코드 자체는 남기되 생산 과정에서 키를 난수화해 추측 불가능하게 만드는 흐름이었는데, 그 추가 단계를 귀찮아서 안 돌리거나 생산 설정 없이 원본 펌웨어를 구워버려서 새어 나온 것 같음
  - 소비자용 기기에 왜 **난수화된 비밀번호**가 필요하지?
  - 맞음, 난수화는 됐지만 우주의 보편 확률 파동 특성 때문에 항상 `rzadmin`으로 난수화되는 것임. 과학자들도 당황 중임

- 그래서 나는 범용 하드웨어와 Linux 배포판으로 **라우터/방화벽을 직접 구성**함
  - 90년대 후반에 `ipchains`로 이걸 하던 기억이 남. 당시에는 엄청 비싸지 않은 라우터를 얻는 유일한 방법이었음  
    이후에야 소비자용/프로슈머용 라우터가 나왔는데, 결국 옛것이 다시 새것이 된 셈임
  - Tenda는 OpenWRT에서 지원이 좋은 편임
  - ISP가 빌려준 기본 라우터에서 벗어나려고 직접 구성하려는 중인데, 추천할 만한 **하드웨어와 배포판**이 궁금함

- 호텔 WiFi가 이상한 짐승 같던 시절에 Tenda의 여행용 WiFi 제품을 써본 적이 있음  
  지금은 eSIM과 보편적인 여행용 인터넷 요금제 덕분에 호텔 WiFi가 오히려 가장 믿기 어려운 접속 경로일 수도 있어 굳이 필요하지 않을 것 같음  
  같은 가격대의 무료 증정 Mikrotik 장비도 하나 있는데, 물리적으로 더 작고 본류 코드처럼 보이는 걸 돌림. Mikrotik 품질에 대해 뭐라 하든, 원하는 거의 모든 **설정 손잡이**를 제공하긴 함
  - 지금 호텔 작업을 하고 있는데, WiFi를 더 안전하게 만들기 위해 꽤 많이 신경 썼음  
    모든 사용자는 각자 VLAN에 있고, 방마다 별도 PPSK를 씀. 자격 증명도 성+방 번호 같은 말도 안 되는 패턴이 아니라 무작위로 생성함. 자체 출입 통제 시스템도 만들었고, 당시 찾을 수 있던 가장 강한 키카드인 **MIFARE DESFire EV3**를 사용했음. 보안이 농담처럼 보이지 않는 호텔을 만들려고 정말 노력 중임

- 미국/이스라엘은 절대 이런 짓을 안 할 테니 UniFi/Fortinet/Palo Alto를 사면 되겠네!
  - 중국 방화벽 뒤에 미국 방화벽, 그 뒤에 러시아 방화벽을 겹쳐서 서로의 **백도어**를 막게 한다는 네트워크 다이어그램 밈이 돌았던 적이 있음
  - 그 회사들, 그리고 Cisco까지 포함하면 “숨겨진 인증 백도어”의 양과 속도를 따라잡으려면 해야 할 일이 많을 것임  
    예: [https://www.thestack.technology/cisco-hard-coding-passwords-...](<https://www.thestack.technology/cisco-hard-coding-passwords-products/>)
  - 농담인지 모르겠지만, 둘 다 이미 그런 일을 했음. 그리고 미국 회사는 요구가 있으면 **비밀 명령**에 따라 백도어를 구현하도록 강제될 수 있음

- 내 `ifconfig`는 간단함. Shenzhen에서 만든 거면 버림
  - 네 전자제품 부품의 절반 이상은 Shenzhen에서 만들어졌을 것임

- 최근 Tenda 하드웨어/펌웨어는 아래 예시처럼 **암호화**되어 있어 감사가 더 어려워 보임  
  `binwalk`로 본 `US_AC10V6.0si_V16.03.62.09_multi_TDE01.bin`과 `US_BE12ProV1.0mt_V16.03.66.23_TD01.bin`은 OpenSSL 암호화가 걸려 있었음  
  세 번째로 시도한 `US_W18EV2_kf_V16.01.0.20(4766)_HighPower (1).bin`은 암호화되지 않았고, 이 CVE의 영향 목록에 없는 다른 모델에도 문제가 있을 수 있음을 보여줌. 내부의 `/squashfs-root/webroot_ro/default_ac.cfg`와 `default_router.cfg`에는 `sys.rzadmin.username=rzadmin`, `sys.rzadmin.password=cnphZG1pbg==`가 있으며, Base64로 풀면 `rzadmin`임. `guest/guest`도 보임  
  빠르게 본 바로는 `sys.rzadmin.password`는 `/bin/httpd`의 `login()` 함수에서 값을 가져와 비교하는 맥락에서만 참조되고, 틀리면 `"login err: password is wrong."`가 나옴. 펌웨어 어느 부분에서도 이 기본값을 사용자가 바꾸게 해주는 코드 참조는 찾지 못했음  
  덤으로 `/bin/imsd`의 `imsd_upload_log_v1`은 SSID, MAC, IP 주소, `sys.admin.username`, `sys.rzadmin.username`, 시간대를 수집하고, `imsd_remote_pwd_get`은 `sys.admin.password`를 가져옴. 관련 라이브러리 `/lib/lubucapi.so`도 더 살펴볼 만한 바이너리로 보이며, Tenda 라우터의 클라우드 관리나 원격 디버깅을 가능하게 하는 명령 집합을 포함한 듯하고, `/bin/imsd`에 `imsd_remote_pwd_get`이 있는 이유도 이 때문일 수 있음
