開源路由系統(tǒng)OpenWrt緊急修復(fù)高危安全漏洞,用戶需盡快更新升級以防攻擊快訊
OpenWrt的Attended Sysupgrade服務(wù)允許用戶定制固件映像,但該服務(wù)的服務(wù)器代碼中存在不安全的make命令使用,但用戶仍被建議下載新生成的映像以替換可能存在風(fēng)險的舊映像。
【TechWeb】12月10日消息,近日,開源路由系統(tǒng)OpenWrt被網(wǎng)絡(luò)安全研究人員揭露存在一個嚴(yán)重的安全漏洞,該漏洞被分配了CVE-2024-54143編號,并獲得了9.3/10的高風(fēng)險評級(CVSS4.0)。
研究人員RyotaK在為自家路由器進(jìn)行常規(guī)升級時發(fā)現(xiàn)了這個漏洞,它涉及到命令注入和哈希截斷的問題。OpenWrt的Attended Sysupgrade服務(wù)允許用戶定制固件映像,但該服務(wù)的服務(wù)器代碼中存在不安全的make命令使用,導(dǎo)致了輸入機制的缺陷,使得攻擊者可以通過軟件包名稱執(zhí)行任意命令。
此外,該服務(wù)使用的SHA-256哈希僅限于12個字符的緩存,相當(dāng)于48位哈希,這使得暴力破解成為可能。攻擊者可以利用Hashcat工具在RTX 4090顯卡上修改固件,向用戶提供惡意版本。
OpenWrt項目組在接到通報后迅速行動,僅在數(shù)小時內(nèi)就完成了漏洞修復(fù),并關(guān)閉了升級服務(wù)器以防止進(jìn)一步的安全威脅。修復(fù)工作于2024年12月4日完成,并恢復(fù)了升級服務(wù)器的運行。
盡管OpenWrt團(tuán)隊表示,目前沒有證據(jù)表明有人利用了該漏洞,且映像被破壞的可能性極低,但用戶仍被建議下載新生成的映像以替換可能存在風(fēng)險的舊映像。此外,對于使用第三方開發(fā)者提供的編譯版本的用戶,需要關(guān)注第三方開發(fā)者的更新動態(tài),以便及時獲取修復(fù)后的固件。
OpenWrt團(tuán)隊強調(diào),盡管日志記錄僅限于過去7天,但為了安全起見,用戶應(yīng)當(dāng)執(zhí)行就地升級替換,以消除潛在的安全風(fēng)險。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
