開源路由系統OpenWrt緊急修復高危安全漏洞,用戶需盡快更新升級以防攻擊快訊
OpenWrt的Attended Sysupgrade服務允許用戶定制固件映像,但該服務的服務器代碼中存在不安全的make命令使用,但用戶仍被建議下載新生成的映像以替換可能存在風險的舊映像。
【TechWeb】12月10日消息,近日,開源路由系統OpenWrt被網絡安全研究人員揭露存在一個嚴重的安全漏洞,該漏洞被分配了CVE-2024-54143編號,并獲得了9.3/10的高風險評級(CVSS4.0)。
研究人員RyotaK在為自家路由器進行常規升級時發現了這個漏洞,它涉及到命令注入和哈希截斷的問題。OpenWrt的Attended Sysupgrade服務允許用戶定制固件映像,但該服務的服務器代碼中存在不安全的make命令使用,導致了輸入機制的缺陷,使得攻擊者可以通過軟件包名稱執行任意命令。
此外,該服務使用的SHA-256哈希僅限于12個字符的緩存,相當于48位哈希,這使得暴力破解成為可能。攻擊者可以利用Hashcat工具在RTX 4090顯卡上修改固件,向用戶提供惡意版本。
OpenWrt項目組在接到通報后迅速行動,僅在數小時內就完成了漏洞修復,并關閉了升級服務器以防止進一步的安全威脅。修復工作于2024年12月4日完成,并恢復了升級服務器的運行。
盡管OpenWrt團隊表示,目前沒有證據表明有人利用了該漏洞,且映像被破壞的可能性極低,但用戶仍被建議下載新生成的映像以替換可能存在風險的舊映像。此外,對于使用第三方開發者提供的編譯版本的用戶,需要關注第三方開發者的更新動態,以便及時獲取修復后的固件。
OpenWrt團隊強調,盡管日志記錄僅限于過去7天,但為了安全起見,用戶應當執行就地升級替換,以消除潛在的安全風險。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
