Kritikus OpenWRT sérülékenység (CVE-2024-54143)
Az OpenWrt Attended Sysupgrade funkciójának hibája, amelyet egyéni, igény szerinti firmware-képek készítésére használnak, lehetővé tehette rosszindulatú firmware-csomagok terjesztését. Az OpenWrt egy nagymértékben testreszabható, nyílt forráskódú, Linux-alapú operációs rendszer, amelyet beágyazott eszközökhöz, különösen hálózati eszközökhöz, például router-ekhez, hozzáférési pontokhoz (AP) és más IoT-hardverekhez terveztek. A projekt népszerű alternatívája a gyártói firmware-nek, mivel számos fejlett funkciót kínál, és támogatja az ASUS, Belkin, Buffalo, D-Link, Zyxel és sok más cég routereit.
A command injection és hash truncation hibát a Flatt Security kutatója, ‘RyotaK’ fedezte fel egy rutinszerű otthoni laboratóriumi routerfrissítés során. A kritikus (CVSS v4 pontszám: 9.3) hibát, amelyet CVE-2024-54143 néven követnek nyomon, az OpenWrt fejlesztői néhány órával azután javították, hogy a tudomásukra jutott. A felhasználókat azonban arra kérik, hogy végezzenek ellenőrzéseket a telepített firmware biztonsága érdekében. Az OpenWrt csapata azonnal reagált RyotaK privát jelentésére, leállította a sysupgrade.openwrt.org szolgáltatást, javítást alkalmazott, és a szolgáltatás 2024. december 4-én, 3 órán belül újra működött.
Az OpenWrt tartalmaz egy Attended Sysupgrade nevű szolgáltatást, amely lehetővé teszi a felhasználók számára, hogy egyéni, igény szerinti firmware-összeállításokat hozzanak létre, amelyek tartalmazzák a korábban telepített csomagokat és beállításokat. „Az Attended SysUpgrade (ASU) lehetőség lehetővé teszi, hogy egy OpenWrt eszköz új firmware-re frissüljön, miközben a csomagok és beállítások megmaradnak. Ez drámaian leegyszerűsíti a frissítési folyamatot: mindössze néhány kattintással és rövid várakozással lekérdezhet és telepíthet egy új, az összes korábbi csomagot tartalmazó image-et” – magyarázza az OpenWrt támogatási oldala. RyotaK felfedezte, hogy a sysupgrade.openwrt.org szolgáltatás ezeket a bemeneteket konténeres környezetben végrehajtott parancsokon keresztül dolgozza fel. A szerver kódjában a ‘make’ parancs nem biztonságos használatából származó hiba a bemenetkezelési mechanizmusban lehetővé teszi tetszőleges parancsok befecskendezését a csomagneveken keresztül.
A csapat szerint nagyon valószínűtlen, hogy bárki is kihasználta volna a CVE-2024-54143-at, és nem találtak bizonyítékot arra, hogy ez a sérülékenység hatással lett volna a downloads.openwrt.org oldalon található image-ekre. Mivel azonban csak az elmúlt 7 napban történtekre van rálátásuk, azt javasolják, hogy a felhasználók telepítsenek egy újonnan generált image-et, hogy lecseréljék az eszközeiken jelenleg betöltött, potenciálisan nem biztonságos image-eket.