• OpenWrt insta a los usuarios a actualizar el firmware tras fallos de seguridad en el servidor ASU.
  • Dos vulnerabilidades podrían permitir a los atacantes distribuir imágenes de firmware comprometidas.

Qué ocurrió: fallos de seguridad en OpenWrt

Se recomienda a los usuarios deOpenWrtque actualicen sus imágenes de firmware a la misma versión después de que se informara de un problema de seguridad la semana pasada. La vulnerabilidad, descubierta en el servidor de actualización asistida del proyecto (ASU), podría permitir a los atacantes inyectar firmware malicioso mediante una combinación de dos fallos.

El primer fallo, un error de inyección de comandos en la imagen ‘openwrt/imagebuilder’, permite a los atacantes inyectar nombres de paquetes maliciosos, creando imágenes de firmware falsas firmadas con una clave de compilación legítima. El segundo fallo, una vulnerabilidad de hash débil (CVE-2024-54143), se produce porque el hash SHA-256 utilizado en la solicitud de compilación se trunca, reduciendo su complejidad y permitiendo colisiones de hash. Estas vulnerabilidades podrían permitir a los atacantes entregar firmware comprometido a usuarios desprevenidos.

Aunque el riesgo de imágenes comprometidas es bajo, OpenWrt recomienda a los usuarios actualizar a la misma versión para mitigar cualquier amenaza potencial. Se insta a los usuarios que alojan instancias públicas de ASU a aplicar las correcciones de inmediato.

OpenWrt aseguró a los usuarios que las imágenes oficiales y las compilaciones personalizadas de 24.10.0-rc2 no se ven afectadas. Sin embargo, las compilaciones más antiguas que no se verifican debido a procedimientos de limpieza automática todavía pueden representar un riesgo. OpenWrt emitió el aviso poco después de anunciar OpenWrt One. La Software Freedom Conservancy desarrolló esta nueva plataforma de hardware.

Lea también:9 tipos comunes de firmware
Lea también:Vulnerabilidad de GitHub expone a más de 4.000 a un ataque de RepoJacking

Por qué es importante

El fallo de seguridad en el servidor de actualización del sistema (ASU) de OpenWrt hace que sea crucial que los usuarios actualicen su firmware a la misma versión. La vulnerabilidad podría permitir a los atacantes inyectar firmware malicioso utilizando dos problemas: un error de inyección de comandos y una vulnerabilidad de hash débil. La inyección de comandos permite crear imágenes de firmware falsas con nombres de paquetes maliciosos. El hash débil facilita a los atacantes generar colisiones y distribuir imágenes comprometidas.

Aunque el riesgo de un ataque exitoso es bajo, OpenWrt recomienda actualizar para eliminar cualquier amenaza potencial. Los usuarios con instancias públicas de ASU deben actualizar de inmediato. Las imágenes oficiales y las compilaciones personalizadas recientes no se ven afectadas, pero las compilaciones más antiguas aún podrían estar en riesgo. Este problema pone de relieve la necesidad de actualizaciones oportunas y vigilancia para mantener la integridad del sistema. El aviso llega justo después del anuncio de OpenWrt One, lo que subraya la importancia de proteger tanto las plataformas de software como las de hardware.