• OpenWrt exhorte les utilisateurs à mettre à niveau le firmware après des failles de sécurité dans le serveur ASU.
  • Deux vulnérabilités pourraient permettre à des attaquants de servir des images de firmware compromises.

Que s'est-il passé: failles de sécurité OpenWrt

Les utilisateurs d'OpenWrtsont invités à mettre à niveau leurs images de firmware vers la même version après qu'un problème de sécurité a été signalé la semaine dernière. La vulnérabilité, découverte dans le serveur de mise à niveau assistée du projet (ASU), pourrait potentiellement permettre à des attaquants d'injecter du firmware malveillant en combinant deux failles.

La première faille, un bug d'injection de commande dans l'image ‘openwrt/imagebuilder’, permet aux attaquants d'injecter des noms de paquets malveillants, créant ainsi de fausses images de firmware signées avec une clé de construction légitime. La deuxième faille, une vulnérabilité de hachage faible (CVE-2024-54143), survient parce que le hachage SHA-256 utilisé dans la demande de construction est tronqué, réduisant sa complexité et permettant des collisions de hachage. Ces vulnérabilités pourraient permettre à des attaquants de livrer du firmware compromis à des utilisateurs peu méfiants.

Bien que le risque d'images compromises soit faible, OpenWrt recommande aux utilisateurs de mettre à niveau vers la même version pour atténuer toute menace potentielle. Les utilisateurs hébergeant des instances ASU publiques sont instamment priés d'appliquer les correctifs immédiatement.

OpenWrt a assuré aux utilisateurs que les images officielles et les constructions personnalisées de 24.10.0-rc2 restent non affectées. Cependant, les anciennes constructions non vérifiées en raison des procédures de nettoyage automatique peuvent encore présenter un risque. OpenWrt a publié l'avis peu après l'annonce de l'OpenWrt One. Le Software Freedom Conservancy a développé cette nouvelle plateforme matérielle.

À lire également:9 types courants de firmware
À lire également:Vulnérabilité GitHub expose plus de 4 000 dépôts à une attaque de RepoJacking

Pourquoi c'est important

La faille de sécurité dans le serveur de mise à niveau d'OpenWrt (ASU) rend crucial pour les utilisateurs de mettre à niveau leur firmware vers la même version. La vulnérabilité pourrait permettre à des attaquants d'injecter du firmware malveillant en utilisant deux problèmes: un bug d'injection de commande et une vulnérabilité de hachage faible. L'injection de commande permet à des noms de paquets malveillants de créer de fausses images de firmware. Le hachage faible permet aux attaquants de générer plus facilement des collisions et de servir des images compromises.

Bien que le risque d'une attaque réussie soit faible, OpenWrt recommande la mise à niveau pour éliminer toute menace potentielle. Les utilisateurs disposant d'instances ASU publiques doivent mettre à jour immédiatement. Les images officielles et les constructions personnalisées récentes restent non affectées, mais les anciennes constructions pourraient encore être à risque. Ce problème souligne la nécessité de mises à jour rapides et d'une vigilance dans le maintien de l'intégrité du système. L'avis intervient juste après l'annonce de l'OpenWrt One, soulignant l'importance de sécuriser à la fois les plateformes logicielles et matérielles.