登录

OpenWrt设备中attended.sysupgrade服务存在严重漏洞


2024年12月11日 11:4

12月6日,OpenWrt发布了一份安全公告,表示其attended.sysupgrade服务存在严重的漏洞(CVE-2024-54143)。研究员RyotaK在家庭实验室路由器升级过程中发现了这一漏洞,并给予了9.3的CVSS评分。该漏洞影响范围广泛,包括使用在线固件升级、firmware-selector.openwrt.org或attended.sysupgrade CLI升级的设备。

据了解,这个漏洞的产生源于两个主要问题:Imagebuilder中的命令注入和attended.sysupgrade服务的请求哈希机制。在Imagebuilder中,攻击者可以在构建镜像时提交包含恶意命令的软件包列表,从而将任意命令注入构建过程,导致生成的固件镜像即使使用合法密钥签名也能植入恶意代码。而在attended.sysupgrade服务中,其请求哈希机制将SHA-256哈希值截断为仅12个字符,这使得攻击者能够轻松制造哈希碰撞。

根据官方声明,目前没有证据表明downloads.openwrt.org提供的镜像受到影响,但由于可见性限制,在建议用户安装新生成的镜像以替换可能存在风险的固件之前,请务必将所有操作记录在案。同时,请尽快更新系统以保障设备安全。

值得注意的是,在OpenWrt团队发布的补丁中修复了这个漏洞,并强烈建议用户尽快进行系统更新。

主题:漏洞|设备