IT之家 12 月 11 日消息，OpenWrt 于 12 月 6 日發(fā)布安全公告，報(bào)告稱 attended.sysupgrade 服務(wù)存在嚴(yán)重漏洞（CVE-2024-54143），攻擊者可利用該漏洞污染固件鏡像，向用戶推送惡意固件。

安全研究員 RyotaK 在家庭實(shí)驗(yàn)室路由器升級(jí)過程中，發(fā)現(xiàn)了 OpenWrt 更新服務(wù)中的漏洞，CVSS 評(píng)分高達(dá) 9.3，編號(hào)為 CVE-2024-54143。

該漏洞主要存在于 OpenWrt 的按需鏡像服務(wù)器 ASU（Attended Sysupgrade）中，該服務(wù)支持用戶根據(jù)自身需求定制固件。

公告稱該漏洞無需身份驗(yàn)證即可利用，影響范圍廣泛，波及使用在線固件升級(jí)、firmware-selector.openwrt.org 或 attended.sysupgrade CLI 升級(jí)的 OpenWrt 設(shè)備。

攻擊者可以利用該漏洞繞過完整性檢查，悄無聲息地修改固件，或在固件構(gòu)建過程中注入惡意命令，最終控制用戶設(shè)備。

IT之家援引公告內(nèi)容，該漏洞的產(chǎn)生，源于兩個(gè)主要問題：

Imagebuilder 中的命令注入: 攻擊者可在構(gòu)建鏡像時(shí)，通過提交包含惡意命令的軟件包列表，將任意命令注入構(gòu)建過程，將導(dǎo)致生成的固件鏡像即使使用合法密鑰簽名，也能植入惡意代碼。

SHA-256 哈希碰撞截?cái)?/strong>: attended.sysupgrade 服務(wù)的請(qǐng)求哈希機(jī)制將 SHA-256 哈希值截?cái)酁閮H 12 個(gè)字符。這種截?cái)啻蠓档土斯５陌踩?，讓攻擊者能夠輕易制造哈希碰撞。攻擊者預(yù)先構(gòu)建惡意鏡像，然后利用哈希碰撞，將惡意鏡像替換掉合法的鏡像，污染 artifact（軟件制品）緩存，最終將惡意固件推送給用戶。

OpenWrt 團(tuán)隊(duì)表示，目前沒有證據(jù)表明 downloads.openwrt.org 提供的鏡像受到影響，但由于可見性限制，建議用戶安裝新生成的鏡像，替換可能存在風(fēng)險(xiǎn)的固件。

OpenWrt 官方已發(fā)布補(bǔ)丁修復(fù)了該漏洞，強(qiáng)烈建議用戶盡快更新系統(tǒng)，以保障設(shè)備安全。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。