O vulnerabilitate în funcția de actualizare a firmware-ului OpenWrt Attended Sysupgrade, utilizată pentru a construi imagini de firmware personalizate, la cerere, ar fi putut permite distribuția de pachete de firmware malitioase.
OpenWrt este un sistem de operare bazat pe Linux, foarte personalizabil și open-source, conceput pentru dispozitive încorporate, în special dispozitive de rețea precum routere, puncte de acces și alte hardware-uri IoT. Proiectul reprezintă o alternativă populară la firmware-ul producătorului, deoarece oferă numeroase caracteristici avansate și suportă routere de la ASUS, Belkin, Buffalo, D-Link, Zyxel și multe altele.
Vulnerabilitatea de injectare a comenzilor și de trunchiere a hash-ului a fost descoperită de cercetătorul în securitate Flatt ‘RyotaK’ în timpul unei actualizări de rutină a routerului din laboratorul său de acasă.
Vulnerabilitatea critică (CVSS v4 score: 9.3), urmărită sub numele de CVE-2024-54143, a fost remediată în câteva ore de la dezvăluirea către dezvoltatorii OpenWrt. Cu toate acestea, utilizatorilor li se recomandă să efectueze verificări pentru a asigura siguranța firmware-ului lor instalat.
OpenWrt include un serviciu numit Attended Sysupgrade care le permite utilizatorilor să creeze construcții personalizate de firmware la cerere, care includ pachetele și setările instalate anterior.
„Facilitatea Attended SysUpgrade (ASU) permite unui dispozitiv OpenWrt să se actualizeze la un nou firmware, păstrând în același timp pachetele și setările. Acest lucru simplifică în mod semnificativ procesul de actualizare: doar câteva clicuri și o scurtă așteptare vă permit să preluați și să instalați o imagine nouă construită cu toate pachetele anterioare,” explică o pagină de suport OpenWrt.
„ASU elimină necesitatea de a face o listă a pachetelor instalate manual sau de a vă chinui cu opkg doar pentru a actualiza firmware-ul.”
RyotaK a descoperit că serviciul sysupgrade.openwrt.org procesează aceste intrări prin comenzi executate într-un mediu containerizat.
O vulnerabilitate în mecanismul de gestionare a intrărilor, provenind din utilizarea nesigură a comenzii ‘make’ în codul serverului, permite injectarea arbitrară a comenzilor prin numele pachetelor.
Un al doilea problemă descoperită de RyotaK a fost că serviciul utilizează un hash SHA-256 trunchiat la 12 caractere pentru a memora artefactele de construcție, limitând hash-ul la doar 48 de biți.
Cercetătorul explică că acest lucru face posibilă forțarea coliziunilor, permițând unui atacator să creeze o cerere care reutilizează o cheie de memorie cache găsită în construcțiile legitime de firmware.
Combinate cele două probleme și utilizând instrumentul Hashcat pe o placă grafică RTX 4090, RyotaK a demonstrat că este posibil să se modifice artefactele de firmware pentru a livra construcții malitioase utilizatorilor neatenți.
Echipa OpenWrt a răspuns imediat raportului privat al lui RyotaK, oprind serviciul sysupgrade.openwrt.org, aplicând o remediere și reluând activitatea în 3 ore, pe 4 decembrie 2024.
Echipa spune că este puțin probabil ca cineva să fi exploatat CVE-2024-54143 și nu au găsit dovezi că această vulnerabilitate a afectat imaginile de pe downloads.openwrt.org.
Cu toate acestea, deoarece au vizibilitate doar asupra a ceea ce s-a întâmplat în ultimele 7 zile, se sugerează utilizatorilor să instaleze o imagine nou generată pentru a înlocui orice imagini potențial nesigure încărcate pe dispozitivele lor.
„Jurnalele de construcție disponibile pentru alte imagini personalizate au fost verificate și NU S-A GĂSIT NICIUNA SOLICITARE MALITIOASĂ, însă din cauza curățărilor automate nu au putut fi verificate construcțiile mai vechi de 7 zile. Serverul afectat este resetat și reinițializat de la zero,” explică OpenWrt.
„Deși posibilitatea de imagini compromise este aproape de 0, se SUGEREAZĂ utilizatorului să facă un UPGRADE PE LOC la aceeași versiune pentru a ELIMINA orice posibilitate de a fi afectat de aceasta. Dacă rulați o instanță publică auto-găzduită a ASU, vă rugăm să o actualizați imediat.”
Această problemă a existat de ceva timp, așa că nu există date limită, iar toată lumea ar trebui să ia măsura recomandată dintr-o precauție excesivă.
CISA etichetează defectul Progress Kemp LoadMaster ca exploatat în atacuri
D-Link nu va remedia o eroare critică în 60.000 de modemuri EoL expuse
HPE avertizează cu privire la defecte critice RCE în punctele de acces Aruba Networking
Hackerii vizează o vulnerabilitate zero-day critică în camerele PTZ
Atac masiv de ransomware PSAUX vizează 22.000 de instanțe CyberPanel
Leave a Reply