开源路由系统 OpenWrt 日前被研究人员爆出存在安全漏洞,在接到通报后该漏洞被分配 CVE-2024-54143 编号,漏洞评级 (CVSS4.0) 为 9.3/10 分。
该漏洞虽然已经存在一段时间,不过在被研究人员发现并通报后,OpenWrt 项目组仅在数小时内就完成了漏洞修复,接下来使用该系统的用户需要及时检查更新。
如果使用的是第三方提供的编译版本则需要关注第三方开发者主页看看什么时候同步上游更新,有了新版本固件后用户应当尽快执行升级。
这枚漏洞的情况说明:
网络安全公司 Flatt Security 的研究人员 RyotaK 在调试自家路由器并进行常规升级时发现了这个漏洞,漏洞属于命令注入和哈希截断类。
OpenWrt 包含名为 Attended Sysupgrade 的系统升级服务 (或者叫有人值守服务),该服务允许用户创建先前安装的包和设置的自定义、按需固件映像,方便专业用户定制固件映像。
有人值守系统升级功能允许 OpenWrt 设备更新到最新固件,同时还保留软件包和设置,这极大地简化了升级过程,只需要几次点击和短暂的等待即可完成构建和升级。
研究人员发现 OpenWrt 是通过 sysupgrade.OpenWrt.org 服务在容器环境中执行命令来处理这些工作,但服务器代码中不安全的使用 make 命令导致输入机制存在缺陷,从而允许通过软件包名称进行任意命令注入。
以上是第一个问题。第二个问题则是该服务使用 SHA-256 的 12 个字符缓存构建工作,将哈希限制为仅 48 位,这导致暴力碰撞变得可行,即攻击者可以重用合法版本固件中发现的缓存密钥。
最终通过以上两个问题攻击者能够在 RTX 4090 显卡上使用 Hashcat 工具完成修改并向毫无戒心的用户提供恶意版本。
漏洞的修复工作:
在接到研究人员的通报后 OpenWrt 立即关闭了升级服务器进行修复,并在 2024 年 12 月 4 日花费了 3 个小时完成修复并恢复升级服务器的运行。
OpenWrt 团队称极不可能有人利用了这个漏洞,并且他们也没有发现任何证据表明 downloads.OpenWrt.org 托管的镜像也受到了影响。
但日志只能查看过去 7 天 (12 月 4 日往前推 7 天) 的情况,因此团队的建议是通过安装 OpenWrt 新生成的映像替换当前安装的任何潜在的不安全映像。
尽管映像破坏的可能性接近于 0,不过用户可以下载同版本镜像进行就地升级替换,这是一种安全的做法,可以消除潜在影响。
最后还是要强调的是如果你使用的是第三方开发者提供的映像,请关注第三方开发者以便能够在第一时间获得重新编译的固件。
