그 스페인 기업의 44.2% 2025년에 일종의 사이버 보안 사고가 발생했지만 가장 큰 위험은 정교한 해커에게서 나온 것이 아닙니다. 홈 라우터에 공장에서 설치되어 있었던 것입니다. 교환원이 제공한 장치를 연결한 첫날부터 활성 프로토콜 귀하가 보거나 만질 수 없는 백그라운드에서 회사가 귀하의 연결을 원격으로 관리하는 데 사용됩니다.
해당 프로토콜은 CWMP라고도 알려진 TR-069라고 하며 다음을 통해 작동합니다. TCP 포트 7547. Movistar, Orange 및 Vodafone은 이를 사용하여 기술자에게 연락하지 않고도 펌웨어를 업데이트하고 포트를 열거나 장치를 다시 시작할 수 있습니다. 보안 문제는 해당 포트가 인터넷에 노출되면(많은 가정에서 그렇습니다) 공격자가 운영자와 동일한 문을 두드릴 수 있다는 것입니다.
공개 함정으로 바꾸는 보안 결함
2025년 9월, 독립 연구원 ByteRay가 TP-Link에 보고한 내용은 다음과 같습니다. 심각한 제로데이 취약점 CWMP 구현에서. 회사는 버그를 확인했습니다. SOAP 메시지를 처리할 때 프로토콜 바이너리가 메모리 제한을 올바르게 검증하지 않아 오류가 발생하는 것입니다. 스택 오버플로 로드가 3,072바이트보다 큽니다. 결과: 영향을 받는 프로세스의 권한으로 임의 코드가 원격으로 실행됩니다.
처음 확정된 모델에는 Archer AX10과 아처 AX1500여러 운영자가 스페인에 배포한 라우터입니다. 해당 네트워크에 연결된 모든 장치의 보안은 공격자가 라우터를 제어하는 순간부터 사용자에게 경고가 표시되지 않고 연결이 끊어지지 않고 손상됩니다. 눈에 띄는 흔적도 남기지 않고.
공격자가 디지털 홈에 침입하는 방법
공격 벡터는 기술적으로 간단합니다. 공격자는 라우터를 다음으로 리디렉션합니다. 악성 자동 구성 서버(ACS). 가짜 연결이 설정되면 버퍼를 오버플로하고 코드를 실행할 수 있는 문을 여는 대형 SOAP 메시지를 보냅니다. 거기에서 주택 보안에 대한 결과는 즉각적이고 심각합니다.
라우터에 접근하면 침입자는 다음과 같은 행위를 할 수 있습니다. DNS 설정 변경 모든 트래픽을 사기성 서버로 리디렉션하거나, 암호화되지 않은 통신을 가로채거나, 방문하는 웹 페이지에 악성 콘텐츠를 삽입하거나, 네트워크를 발판으로 사용하여 제3자를 공격합니다. 당신의 IP 주소.
스페인과 유럽은 이미 이전에도 이와 같은 붕괴를 경험했습니다.
이번 공지는 처음이 아니다. 2016년 11월 악성코드 미라이 포트 7547에서 정확히 동일한 TR-069 프로토콜을 악용하여 유럽의 수백만 대의 라우터를 감염시켜 수십만 개의 독일 가정을 오프라인 상태로 만들고 영국과 스페인 제공업체에 영향을 미쳤습니다. 패턴은 반복되었습니다. 홈 장비의 보안은 보안에 달려 있었습니다. 열린 포트 운영자는 인터넷에서 계속 액세스할 수 있었습니다.
역사에 따르면 이러한 유형의 취약점이 공개되면 몇 시간 내에 글로벌 규모의 자동화된 공격이 도착합니다. 다음과 같은 도구 쇼단 노출된 포트 7547이 있는 모든 장치를 실시간으로 인덱싱하여 취약한 각 라우터를 전 세계 어디에서나 찾을 수 있는 대상으로 전환합니다.
| 취약점 | 년도 | 영향을 받는 프로토콜 | 포트 | 예상 영향 |
|---|---|---|---|---|
| 미라이/TR-069 | 2016년 | CWMP/TR-069 | 7547 | 유럽의 수백만 대의 라우터 |
| TP-링크 0일 CWMP | 2025년 | CWMP/TR-069 | 7547 | 모델 AX10, AX1500 및 기타 |
| 모비스타 HGU XSS | 2021 | 웹 인터페이스 | 80/443 | 스페인의 Movistar/O2 라우터 |
| CVE-2026-24061 텔넷 | 2026년 | 텔넷/Inetutils | 23 | 글로벌 트래픽 붕괴 |
귀하의 안전을 보호하기 위해 지금 할 수 있는 일
Kaspersky의 보안 게시판에 따르면 통신 부문의 위협 환경은 2026년에도 여전히 중요할 것입니다. 공급망 원격으로 관리되는 장비의 취약점은 운영자와 고객의 주요 위험 요소입니다. 홈 사용자는 운영자가 혼자서 패치를 완료할 때까지 기다릴 수 없습니다.
위험을 즉시 줄이는 구체적인 조치는 다음과 같습니다. 라우터의 펌웨어에 사용 가능한 업데이트가 있는지 확인하고 지체 없이 설치합니다. 접속하다 관리 패널 (일반적으로 192.168.1.1) CWMP 또는 TR-069 서비스가 활성화된 것으로 나타나는지 확인합니다. 운영자가 서비스에 대해 요구하지 않는 경우 비활성화를 요청하십시오. 외부 접근 차단 포트 7547 모델이 허용하는 경우 제조업체가 최종 패치를 출시하는 동안 라우터 방화벽에서 가장 효과적인 장벽이 됩니다.
