• ASU 服务器出现安全漏洞后,OpenWrt 敦促用户升级固件。
  • 两个漏洞可能允许攻击者提供被入侵的固件镜像。

发生了什么:OpenWrt 安全漏洞

OpenWrt用户被建议在安全问题于上周报告后将固件镜像升级到相同版本。该漏洞发现于该项目的 attended sysupgrade 服务器(ASU)中,可能允许攻击者通过两个漏洞的组合注入恶意固件。

第一个漏洞是 `openwrt/imagebuilder` 镜像中的命令注入缺陷,允许攻击者注入恶意包名称,从而创建使用合法构建密钥签名的伪造固件镜像。第二个漏洞是一个弱哈希漏洞 (CVE-2024-54143),原因是构建请求中使用的 SHA-256 哈希被截断,降低了其复杂性,导致哈希碰撞。这些漏洞可能让攻击者向毫无戒心的用户提供被入侵的固件。尽管镜像被入侵的风险很低,OpenWrt 推荐用户升级到相同版本以减轻任何潜在威胁。托管公开 ASU 实例的用户应立即应用修复。

OpenWrt 向用户保证,来自 24.10.0-rc2 的官方镜像和自定义构建不受影响。然而,由于自动清理程序未检查的旧版本构建仍可能构成风险。OpenWrt 在宣布 OpenWrt One 后不久发布了此安全公告。Software Freedom Conservancy 开发了这一新的硬件平台。

另请阅读:9 种常见固件类型
另请阅读:GitHub 漏洞暴露 4,000+ 仓库于 RepoJacking 攻击

为何重要

OpenWrt 的 sysupgrade 服务器(ASU)中的安全漏洞使得用户必须将固件升级到相同版本。该漏洞可能允许攻击者利用两个问题注入恶意固件:命令注入缺陷和弱哈希漏洞。命令注入允许恶意包名称创建伪造的固件镜像。弱哈希使攻击者更容易生成碰撞并提供被入侵的镜像。

尽管成功攻击的风险较低,OpenWrt 建议升级以消除任何潜在威胁。拥有公开 ASU 实例的用户应立即更新。官方镜像和最新的自定义构建不受影响,但旧版本构建仍可能面临风险。此问题凸显了及时更新和保持系统完整性的警惕性需求。该公告紧接在 OpenWrt One 发布之后,强调了保护软件和硬件平台安全的重要性。