Уязвимость в функции OpenWrt Attended Sysupgrade, используемой для создания пользовательских образов прошивки по запросу, могла позволить распространять вредоносные пакеты прошивки.
OpenWrt — это гибкая в настройке система с открытым исходным кодом на базе Linux, разработанная для различных устройств, в частности сетевых устройств, таких как маршрутизаторы, точки доступа и другое оборудование IoT. Проект является популярной альтернативой прошивке производителя, поскольку предлагает множество расширенных функций и поддерживает маршрутизаторы от ASUS, Belkin, Buffalo, D-Link, Zyxel и многих других.
Уязвимость внедрения команд и усечения хэша была обнаружена исследователем Flatt Security «RyotaK» во время планового обновления маршрутизатора в домашней лаборатории.
Уязвимость получила рейтинг «Критический»(оценка CVSS v4: 9,3), отслеживаемая как CVE-2024-54143, была исправлена в течение нескольких часов после того, как была раскрыта разработчикам OpenWrt. Однако, пользователям настоятельно рекомендуется выполнять проверки, чтобы гарантировать безопасность установленной прошивки.
Компрометация образов OpenWrt
OpenWrt включает в себя службу под названием Attended Sysupgrade, которая позволяет создавать пользовательские сборки прошивки по запросу, включающие ранее установленные пакеты и настройки.
На странице поддержки поясняется:
Средство Attended SysUpgrade (ASU) позволяет устройству OpenWrt обновляться до новой прошивки, сохраняя пакеты и настройки. Это значительно упрощает процесс обновления: всего пара щелчков и короткое ожидание позволяют вам получить и установить новый образ, созданный со всеми вашими предыдущими пакетами.
ASU устраняет необходимость составлять список пакетов, установленных вручную, или возиться с opkg только для обновления прошивки.
RyotaK обнаружил, что служба sysupgrade.openwrt.org обрабатывает эти входные данные с помощью команд, выполняемых в контейнерной среде.
Уязвимость в механизме обработки входных данных, вызванная небезопасным использованием команды «make» в коде сервера, позволяет вводить произвольные команды через имена пакетов.
Вторая проблема, обнаруженная RyotaK, заключалась в том, что служба использует 12-символьный усеченный хэш SHA-256 для кэширования артефактов сборки, ограничивая хэш всего 48 битами.
Исследователь объясняет, что это делает возможными коллизии методом подбора, позволяя злоумышленнику создать запрос, который повторно использует ключ кэша, найденный в легитимных сборках прошивки.
Объединив две проблемы и используя инструмент Hashcat на видеокарте RTX 4090, RyotaK продемонстрировал, что можно изменять артефакты прошивки для доставки вредоносных сборок ничего не подозревающим пользователям.
Проверьте маршрутизаторы
Команда OpenWrt немедленно отреагировала на частный отчет RyotaK, отключив службу sysupgrade.openwrt.org, применив исправление и восстановив ее в течение 3 часов — это произошло 4 декабря 2024 года.
Команда заявляет, что крайне маловероятно, что кто-либо использовал CVE-2024-54143, и они не нашли никаких доказательств того, что эта уязвимость повлияла на образы с downloads.openwrt.org.
Однако, поскольку они видят только то, что произошло за последние 7 дней, пользователям предлагается установить новый сгенерированный образ, чтобы заменить любые потенциально небезопасные образы, которые в настоящее время загружены на их устройства.
OpenWrt поясняет:
Были проверены доступные журналы сборки для других пользовательских образов, и НЕ ОБНАРУЖЕНО ВРЕДОНОСНЫХ ЗАПРОСОВ, однако из-за автоматической очистки не удалось проверить сборки старше 7 дней. Затронутые серверы сбрасываются и реинициализируются с нуля.
Хотя вероятность столкнуться со скомпрометированными образами близка к нулю, пользователю РЕКОМЕНДУЕТСЯ выполнить ОБНОВЛЕНИЕ НА МЕСТЕ до той же версии, чтобы ИСКЛЮЧИТЬ любую возможность компрометации. Если вы используете публичный, размещенный самостоятельно экземпляр ASU, пожалуйста, обновите его немедленно.
Эта проблема существует уже некоторое время, поэтому нет крайних сроков, и каждый должен предпринять рекомендуемые действия из соображений предосторожности.
Угрозы безопасности
• Ботнет MikroTik использует уязвимость в DNS для распространения вирусов
• Контроллер USB-C для iPhone и его систему безопасности взломали – это могут использовать для джейлбрейка
• Microsoft: уязвимость macOS позволяет хакерам устанавливать вредоносные драйверы ядра
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг