OpenWrt 严重漏洞致设备遭受恶意固件注入

OpenWrt的 Attended Sysupgrade ( ASU ) 功能中被发现存在一个安全漏洞，如果成功利用，可能会被滥用来分发恶意固件包。

该漏洞的编号为CVE-2024-54143，CVSS 评分为 9.3（满分 10 分），表明该漏洞严重性极高。Flatt Security 研究员 RyotaK 于 2024 年 12 月 4 日发现并报告了该漏洞。该问题已在ASU 版本 920c8a1中得到修补。

项目维护人员在警报中表示：“由于 imagebuilder 映像中的命令注入和构建请求哈希中包含的截断 SHA-256 哈希的组合，攻击者可以通过提供导致哈希冲突的包列表来污染合法映像。”

OpenWrt是一种流行的基于 Linux 的开源操作系统，适用于路由器、住宅网关和其他路由网络流量的嵌入式设备。

成功利用该缺陷实际上可以让威胁行为者在构建过程中注入任意命令，从而导致生成使用合法构建密钥签名的恶意固件映像。

更糟糕的是，与构建密钥相关的 12 个字符的 SHA-256 哈希碰撞可以被武器化，用来代替合法图像提供先前构建的恶意图像，对下游用户构成严重的供应链风险。

OpenWrt 指出：“攻击者需要能够提交包含精心设计的软件包列表的构建请求。利用这些漏洞无需身份验证。通过注入命令并引起哈希冲突，攻击者可以强制合法的构建请求接收先前生成的恶意映像。”

RyotaK 对该漏洞进行了技术分析，他表示，尚不清楚该漏洞是否曾被利用，因为它“已经存在了一段时间”。建议用户尽快更新到最新版本，以防范潜在威胁。