【漏洞预警】OpenWrt Attended SysUpgrade命令注入漏洞(CVE-2024-54143)

科技   2024-12-10 17:48   北京  

漏洞描述:

OpenWrt是一款基于Linux的嵌入式操作系统,专为路由器和其他网络设备设计,openwrt/asu是OpenWrt项目的一个服务,用于提供Attended SysUpgrade(ASU)功能,它允许用户创建定制的OpenWrt固件镜像,并在升级过程中保留已有的安装包和设置,OpenWrtAttended SysUpgrade(ASU)功能中存在命令注入漏洞和哈希截断问题(追踪为CVE-2024-54143,CVSS评分9.3),目前该漏洞的技术细节已公开披露,详情如下:Imagebuilder命令注入漏洞:由于在镜像构建过程中,用户提供的软件包名称未经适当处理就被合并到make命令中,这可能导致恶意用户将任意命令注入构建过程,从而生成使用合法构建密钥签名的恶意固件镜像。SHA-256哈希截断问题:请求哈希机制将SHA-256哈希截断为仅12个字符(48比特熵)导致哈希碰撞的可能性显著增加,攻击者可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像,从而可能导致恶意镜像传递给用户,攻击者可组合利用这些漏洞,通过命令注入漏洞生成恶意固件镜像,并通过哈希碰撞技术,将恶意固件冒充为合法固件,并伪装在缓存中分发给用户,攻击者可以通过篡改sysupgrade.openwrt.org服务生成的固件镜像,当用户通过ASU、Firmware Selector或CLI升级等途径下载并安装恶意固件镜像后,设备可能被攻击者完全控制,从而可能导致拦截或篡改网络流量、窃取设备敏感信息或发起进一步攻击。

影响范围:

openwrt/asu < 920c8a1

修复建议:
升级版本
该漏洞已通过920c8a1提交进行了修复,受影响用户可将openwrt/asu服务升级到修复版本或应用补丁以缓解该漏洞。

下载链接:
https://github.com/openwrt/asu/releases

临时措施:
暂无

飓风网络安全
专注网络安全,成立于2014年;专注于研究安全服务,黑客技术、0day漏洞、红蓝对抗、威胁情报、应用安全、主机安全,提供服务器网站安全解决方案,数据库安全、服务器安全运维。
 最新文章