Уязвимость в функции OpenWrt Attended Sysupgrade, используемой для создания пользовательских образов прошивки по запросу, могла позволить распространять вредоносные пакеты прошивки.
OpenWrt — это гибкая в настройке система с открытым исходным кодом на базе Linux, разработанная для различных устройств, в частности сетевых устройств, таких как маршрутизаторы, точки доступа и другое оборудование IoT. Проект является популярной альтернативой прошивке производителя, поскольку предлагает множество расширенных функций и поддерживает маршрутизаторы от ASUS, Belkin, Buffalo, D-Link, Zyxel и многих других.
Уязвимость внедрения команд и усечения хэша была обнаружена исследователем Flatt Security «RyotaK» во время планового обновления маршрутизатора в домашней лаборатории.
Уязвимость получила рейтинг «Критический»(оценка CVSS v4: 9,3), отслеживаемая как CVE-2024-54143, была исправлена в течение нескольких часов после того, как была раскрыта разработчикам OpenWrt. Однако, пользователям настоятельно рекомендуется выполнять проверки, чтобы гарантировать безопасность установленной прошивки.
Компрометация образов OpenWrt
OpenWrt включает в себя службу под названием Attended Sysupgrade, которая позволяет создавать пользовательские сборки прошивки по запросу, включающие ранее установленные пакеты и настройки.
На странице поддержки поясняется:
Средство Attended SysUpgrade (ASU) позволяет устройству OpenWrt обновляться до новой прошивки, сохраняя пакеты и настройки. Это значительно упрощает процесс обновления: всего пара щелчков и короткое ожидание позволяют вам получить и установить новый образ, созданный со всеми вашими предыдущими пакетами.
ASU устраняет необходимость составлять список пакетов, установленных вручную, или возиться с opkg только для обновления прошивки.
RyotaK обнаружил, что служба sysupgrade.openwrt.org обрабатывает эти входные данные с помощью команд, выполняемых в контейнерной среде.
Уязвимость в механизме обработки входных данных, вызванная небезопасным использованием команды «make» в коде сервера, позволяет вводить произвольные команды через имена пакетов.
Вторая проблема, обнаруженная RyotaK, заключалась в том, что служба использует 12-символьный усеченный хэш SHA-256 для кэширования артефактов сборки, ограничивая хэш всего 48 битами.
Исследователь объясняет, что это делает возможными коллизии методом подбора, позволяя злоумышленнику создать запрос, который повторно использует ключ кэша, найденный в легитимных сборках прошивки.
Объединив две проблемы и используя инструмент Hashcat на видеокарте RTX 4090, RyotaK продемонстрировал, что можно изменять артефакты прошивки для доставки вредоносных сборок ничего не подозревающим пользователям.
Проверьте маршрутизаторы
Команда OpenWrt немедленно отреагировала на частный отчет RyotaK, отключив службу sysupgrade.openwrt.org, применив исправление и восстановив ее в течение 3 часов — это произошло 4 декабря 2024 года.
Команда заявляет, что крайне маловероятно, что кто-либо использовал CVE-2024-54143, и они не нашли никаких доказательств того, что эта уязвимость повлияла на образы с downloads.openwrt.org.
Однако, поскольку они видят только то, что произошло за последние 7 дней, пользователям предлагается установить новый сгенерированный образ, чтобы заменить любые потенциально небезопасные образы, которые в настоящее время загружены на их устройства.
OpenWrt поясняет:
Были проверены доступные журналы сборки для других пользовательских образов, и НЕ ОБНАРУЖЕНО ВРЕДОНОСНЫХ ЗАПРОСОВ, однако из-за автоматической очистки не удалось проверить сборки старше 7 дней. Затронутые серверы сбрасываются и реинициализируются с нуля.
Хотя вероятность столкнуться со скомпрометированными образами близка к нулю, пользователю РЕКОМЕНДУЕТСЯ выполнить ОБНОВЛЕНИЕ НА МЕСТЕ до той же версии, чтобы ИСКЛЮЧИТЬ любую возможность компрометации. Если вы используете публичный, размещенный самостоятельно экземпляр ASU, пожалуйста, обновите его немедленно.
Эта проблема существует уже некоторое время, поэтому нет крайних сроков, и каждый должен предпринять рекомендуемые действия из соображений предосторожности.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России